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了 路 


前 


计算 机 网 络 已 逐步 深入 应 用 到 政治 、 经 济 、 军 事 等 各 个 领域 ， 以 及 人 们 工作 和 生活 的 方 
方面 面 ， 给 国家 、 社 会 带 来 了 巨大 影响 和 深远 变革 ， 伴 随 而 来 的 网 络 安全 问题 也 逐步 引起 了 
人 们 的 高 度 关注 。 

计算 机 网 络 安全 保障 是 一 项 系统 工程 ， 包 含 诸多 复杂 的 环节 ， 任 何 一 个 环节 的 缺陷 或 问 
题 ， 都 会 摧毁 整个 系统 的 安全 防线 。 网 络 安全 保障 ， 需 要 从 物理 (实体 ) 安 全 、 运 行 安全 、 数 
据 (信息 ) 安 全 、 管 理 ( 人 员 ) 安 全 几 个 方面 全 面 着 手 。 

本 书 共 分 为 16 章 ， 编 写 时 采用 先 理 论 分 析 为 主 ， 后 侧重 实践 应 用 的 思路 。 

第 1 章 介绍 了 TCP/IP 协议 的 基础 知识 ,包括 TCP/IP 协议 体系 及 其 各 层 协 议 的 主要 功能 、 

第 2 章 介绍 了 网 络 安全 的 基础 知识 ， 包 括 网 络 安全 的 发 展 历程 、 安 全 威胁 、 安 全 需求 分 
析 、 安 全 模型 。 

第 3 章 介绍 了 物理 安全 ， 包 括 环境 安全 、 机 房 安全 、 设 备 安 全 、 突 发 事件 应 急 计 划 。 

第 4 章 讲述 了 操作 系统 安全 ， 包 括 Windows 系统 安全 、Linux/UNIX 系统 安全 、 操 作 系 
统 漏洞 、 操 作 系统 入 侵 检测 等 内 容 。 

第 5 章 介 绍 了 密码 学 基础 知识 ， 包 括 密码 学 的 基本 概念 、 对 称 密码 算法 、 非 对 称 密码 算 
法 、 散 列 函 数 、 数 字 签 名 等 。 

第 6 章 阐述 了 身份 认证 与 访问 控制 机 制 ， 包 括 身份 认证 与 访问 控制 的 基本 概念 、 类 型 等 
内 容 。 
第 7 章 介绍 了 数据 库 安 全 相关 内 容 ， 包 括 数据 库 安 全 特性 、 数 据 库 安 全 威胁 、 数 据 库 数 
据 保护 、 数 据 库 备份 与 恢复 ， 以 及 SQL Server 数据 库 安全 机 制 。 

第 8 章 介 绍 了 恶意 软件 概念 及 防范 ， 包 括 恶意 软件 的 分 类 和 各 类 恶意 软件 的 特征 、 运 行 
症状 、 防 范 方法 。 

第 9 章 介绍 了 网 络 安全 相关 的 IPSec、TLS、Kerberos、SET 等 安全 协议 。 

第 10 章 介绍 了 PKI( 公 钥 基 础 设施 )， 包 括 其 概念 、 功 能 、 组 成 、 信 任 模型 、 相 关 标准 等 。 

第 11 章 介 绍 了 网 络 安全 相关 的 技术 ， 包 括 防火 墙 、 入 侵 检测 、VPN 等 。 

第 12 章 阐述 了 移动 通信 和 网络 与 无 线 局 域 网 的 安全 性 分 析 及 安全 防护 。 

第 13 章 介绍 了 应 用 安全 ， 包 括 口令 安全 、 网 络 监听 、 网 络 扫描 、 钓 鱼 攻 击 、Web 安全 等 。 

第 14 章 介绍 了 数据 库 备 份 相关 的 数据 存储 技术 、 远 程 数据 备份 、 个 人 数据 备份 。 

第 15 章 介绍 了 信息 安全 评测 与 风险 评估 。 


。I。 计算 机 网 络 安全 教程 


第 16 章 介 绍 了 计算 机 网 络 安全 管理 相关 原则 、 标 准 、 法 规 。 

本 书 通过 大 量 的 实例 ， 力 图 避免 网 络 协议 、 网 络 安全 相关 书籍 枯燥 抽象 的 通病 ， 使 读者 
能 在 最 短 的 时 间 内 学 以 致 用 。 书 中 各 章 不 仅 详 细 介绍 了 实例 的 具体 操作 步 又， 而且 还 配 有 一 
定数 量 的 练习 题 供 读者 学 习 使 用 。 读 者 只 需 按照 书 中 介绍 的 步骤 一 步 步 地 实际 操作 ， 就 能 完 
全 掌握 本 书 的 内 容 。 

本 书 可 作为 高 等 学 校 计算 机 网 络 安全 课程 的 教材 ， 也 可 供 广 大 网 络 管理 员 参 考 。 

本 书 编写 人 员 分 工 如 下 : 石 勇 编写 第 1 一 5 章 ， 户 浩 编写 第 6 一 8 章 ， 黄 继 军 编写 第 9 一 
11 章 ， 程 凤 娟 编写 第 12 一 16 章 。 此 外 ， 苏 兆 锋 、 王 雷 、 许 云 、 苏 小 平 、 刘 兰 、 王 梅 、 张 宏 、 
孙 浩 、 杨 彬 、 关 涛 、 苏 玉林 、 于 文 杰 等 也 参与 了 本 书 的 编写 和 修改 ， 在 此 向 他 们 致 以 诚挚 的 
谢意 ! 

编者 力图 使 本 书 的 知识 性 和 实用 性 相得益彰 ， 但 由 于 水 平 有 限 ， 书 中 错误 、 丝 漏 之 处 难 
免 ， 欢迎 广大 读者 、 同 仁 批评 佐 正 。 


编 者 
2011 年 4 月 
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第 1 章 ”网 络 协议 基础 


信息 革命 是 继 农业 革命 、 工 业 革 命 之 后 ， 人 类 历史 上 的 第 三 次 革命 ， 它 对 整个 人 类 社会 
及 生活 产生 了 深远 的 影响 ， 目 前 ， 这 种 影响 还 在 以 超 乎 想象 的 速度 持续 进行 着 。 

计算 机 网 络 是 信息 技术 存在 与 发 展 的 基石 ， 是 通信 技术 与 计算 机 技术 结合 的 产物 。 计 算 
机 网 络 利用 通信 设备 和 线路 ， 将 地 理 位 置 不 同 、 功 能 独立 的 多 个 计算 机 系统 相互 连接 起 来 ， 
通过 网 络 协议 来 实现 信息 传递 和 资源 共享 。 

高 速 发 展 的 信息 技术 ， 在 大 幅 提高 工作 效率 、 提 供 种 种 生活 便利 的 同时 ， 也 带 来 了 日 益 
严重 的 安全 隐患 。 电 影 《 虎 胆 龙 威 4》 中 利用 计算 机 网 络 操纵 国家 基础 设施 进行 犯罪 的 情节 ， 
绝 非 危 言 符 听 。 事 实 上 ， 各 行 各 业 在 信息 化 进程 中 ， 最 容易 被 忽视 ， 出 现 问题 后 最 难 挽 回 、 
弥补 的 一 个 环节 ， 就 是 信息 安全 的 保障 。 信 息 安全 保障 涉及 多 个 方面 ， 其 中 ， 计 算 机 网 络 的 
复杂 性 、 普 通用 户 的 低 安全 防范 意识 和 低 安 全 防范 水 平 , 使 得 计算 机 网 络 安全 问题 尤为 突出 。 

要 准确 把 握 计算 机 网 络 安全 的 内 涵 ， 掌 握 计 算 机 网 络 协 议 是 其 基本 要 求 。 理 解 计算 机 网 
络 协议 的 基本 运行 原理 ， 才 能 掌握 看 似 简 单 的 网 络 操 作 背 后 蕴含 的 多 个 环节 ， 才 能 考察 各 个 
环节 是 否 安全 ， 才 可 能 设法 保障 网 络 安全 。 计 算 机 网 络 安全 保障 遵循 “ 木 桶 原理 ”， 一 个 环 
节 出 现 问题 ， 整 个 网 络 的 安全 都 无 从 谈 起 。 所 以 ， 对 网 络 协议 的 全 面 领会 ， 是 保障 计算 机 网 
络 安全 的 基础 。 

通常 ， 学 习 网 络 协议 是 一 个 枯燥 乏味 、 令 人 生 厌 的 过 程 ， 很 容易 让 人 感觉 过 于 抽象 ， 上 
汲 难 懂 ， 其 实 这 是 一 个 误解 。 事 实 上， 网络 协议 时 刻 体现 在 每 一 个 细微 的 网 络 操作 中 ， 本 章 
将 通过 大 量 的 实践 案例 ， 将 网 络 协议 的 运行 过 程 向 读者 展现 出 来 ， 力 图 使 网 络 协 议 的 学 习 过 
程 不 再 枯燥 抽象 、 高 深 莫 测 。 

本 章 重点 

e@ TCP/IP 参考 模型 

e 数据 在 各 层 协 议 间 的 流动 

e 链 路 层 协议 的 主要 功能 、 以 太 网 、 帧 的 概念 

e 网 络 层 协议 的 主要 功能 、 主 机 端 到 端 传输 概念 

e 传输 层 协议 的 主要 功能 、 应 用 程序 端 到 端 传输 概念 

e@ 应 用 层 DNS、HTIP、FTP、SMIP、POP3 协议 的 基本 概念 
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1.1 网 络 发 展 概述 


根据 中 国 互 联网 络 信息 中 心 (CNNIC) 在 北京 发 布 的 《第 25 次 中 国 互联 网 络 发 展 状况 统计 
报告 》, 截至 2009 年 12 月 , 我 国 网 民 规 模 已 达 3.84 亿 , 网 络 出 口 带宽 达到 866Gb/s, 距 1986 
年 中 科 院 高 能 物理 研究 所 首 度 与 Intemet 建立 电子 邮件 连接 仅 20 余年 时 间 。 计 算 机 网 络 的 迅 
狐 发 展 ， 以 不 可 逆转 的 趋势 影响 着 我 们 工作 和 生活 的 方方面面 。 

计算 机 网 络 的 发 展 ， 经 历 了 联机 系统 、 计 算 机 互联 网 络 、 标 准 化 网 络 、 网 络 互联 与 高 速 
网 络 四 个 阶段 。 

联机 系统 ， 即 以 一 台中 央 主 计算 机 连接 大 量 地 理 上 处 于 分 散 位 置 的 终端 。 终 端 通常 指 一 
台 计 算 机 的 外 部 设备 ， 包 括 显示 器 和 键盘 ， 无 中 央 处 理 器 。 这 一 阶段 可 追溯 到 20 世纪 50 年 
代 。 那 时 人 们 开始 将 彼此 独立 发 展 的 计算 机 技术 与 通信 技术 结合 起 来 ， 完 成 了 数据 通信 与 计 
算 机 通信 和 网络 的 研究 ， 为 计算 机 网 络 的 出 现 做 好 了 技术 准备 ， 疯 定 了 理论 基础 。 

从 20 世纪 60 年 代 中 期 开始 ， 出 现 了 若干 个 计算 机 互联 的 系统 ， 开 创 了 计算 机 一 一 计算 
机 通信 时 代 。 随 后 各 大 计算 机 公司 都 陆续 推出 了 自己 的 网 络 体系 结构 ， 以 及 实现 这 些 网 络 体 
系 结构 的 软 、 硬 件 产品 。1974 年 BM 公司 提出 的 SNA(System Network Architecture) 和 1975 
年 DEC 公司 推出 的 DNA(Digital Network Architecture) 就 是 两 个 著名 的 例子 。 这 种 自 成 体系 的 
系统 被 称 为 封闭 系统 ， 各 厂家 提供 的 网 络 产品 实现 互联 十 分 困难 ， 人 们 迫切 希望 建立 统一 的 
国际 标准 ， 渴 望 得 到 一 个 开放 的 系统 。 

20 世纪 70 年 代 中 期 ， 计 算 机 网 络 开 始 向 体系 结构 标准 化 的 方向 发 展 。1984 年 国际 标准 
化 组 织 (International Organization for Standaradization，ISO) 正 式 颁布 了 开放 系统 互联 参考 模型 


(Open System Interconnection，OSD， 简称 为 ISO/OSI 七 层 参 考 模型 。20 世纪 80 年 代 ， 美 
国电 气 与 电子 工程 师 协会 (Institute of Electrical and Electronics Engineers，IEEE) 为 了 适应 微型 
计算 机 、 个 人 计算 机 (PC) 以 及 局 域 网 发 展 的 需要 ， 于 1980 年 2 月 在 旧金山 成 立 了 IEEE 802 
局 域 网 标准 委员 会 ， 并 制定 了 一 系列 局 域 网 标准 。 在 此 期 间 ， 各 种 局 域 网 大 量 涌现 。 新 一 代 
光纤 局 域 网 一 一 光纤 分 布 式 数据 接口 (Fiber Distributed Data Interface，FDDD 网 络 标准 及 产品 
也 相继 问世 。 这 一 阶段 典型 的 标准 化 网 络 结 构 如 图 1-1 所 示 ， 通 信子 网 的 交换 设备 主要 是 路 
由 器 和 交换 机 。 通 信子 网 之 外 的 部 分 由 各 种 类 型 的 大 量 主机 构成 ， 信 息 资 源 存放 于 这 些 主机 
中 ， 故 通常 称 此 部 分 为 资源 子 网 。 
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图 1-1 标准 化 网 络 


进入 20 世纪 90 年 代 ， 随 着 计算 机 网 络 技术 的 迅猛 发 展 。 特 别 是 1993 年 美国 宣布 建立 
国家 信息 基础 设施 QNational Information Infrastructure，NID 后 ， 全 世界 许多 国家 都 纷纷 规划 建 
设 本 国 的 NHI， 从 而 极 大 地 推动 了 计算 机 网 络 技术 的 发 展 ， 这样 计算 机 网 络 的 发 展 进 入 一 个 愤 
新 的 阶段 ， 这 就 是 计算 机 网 络 互联 与 高 速 网 络 阶段 。 目 前 ， 全 球 以 Intemet 为 核心 的 高 速 计 
算 机 互联 网 络 已 经 形成 ，Intemet 已 经 成 为 人 类 最 重要 的 、 最 大 的 知识 宝库 。 网 络 互 联 和 高 速 
网 络 被 称 为 第 四 代 计 算 机 网 络 ， 如 图 1-2 所 示 。 


图 1-2 ”网 络 互联 和 高 速 网 络 


1.2 网 络 体系 结构 


网 络 体系 结构 ， 包 含 网 络 协议 如 何 分 层 、 各 层 协 议 、 层 间接 口 三 个 方面 的 内 容 。 

如 何 分 层 ， 是 指 该 协议 体系 中 ， 共 分 为 几 个 层次 ， 每 个 层次 的 名 称 、 功 能 分 别 是 什么 。 
例如 , OSI 七 层 参考 模型 包含 物理 层 、 链 路 层 等 七 个 层次 , 而 TCP/P 体系 结构 则 分 为 链 路 层 、 
网 络 层 、 传 输 层 、 应 用 层 四 个 层次 。 
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通过 网 络 进行 通信 的 两 个 对 象 都 包含 着 协议 体系 中 的 各 个 层次 。 两 个 对 象 中 ， 处 于 相同 
位 置 的 层次 ， 称 为 对 等 层 。 图 1-3 中 ， 用 虚线 标明 了 通信 中 的 A、B 两 个 对 象 的 对 等 层 示例 。 
对 等 层 内 完成 通信 动作 的 主体 ， 称 为 对 等 层 实体 ， 如 图 1-3 中 的 圆 形 区 域 。 对 等 层 间 进行 数 
据 交 换 等 通信 动作 时 所 遵循 的 规范 ， 则 称 为 网 络 体系 结构 的 各 层 协 议 。 例 如 ， 主 机 A 的 网 络 
层 实体 发 送 了 一 个 数据 包 给 主机 B， 这 个 数据 包 的 包 结 构 、 包 内 各 字段 的 定义 ， 都 必须 遵循 
网 络 层 协 议 。 

层 间 接口 描述 的 是 某 通信 对 象 内 不 同 网 络 层次 间 进 行 数据 交换 时 所 遵循 的 规范 ， 其 所 处 
位 置 见 图 1-3 中 的 方块 形 区 域 。 

也 许 有 人 会 问 ， 为 什么 网 络 体系 结构 一 定 要 分 层 ? 事实 上 ， 基 于 前 人 的 大 量 经 验 ， 非 常 
确定 的 是 ， 在 设计 一 个 比较 复杂 的 系统 时 ， 如 果 不 对 系统 进行 分 解 ， 并 对 分 解 后 的 各 部 分 进 
行 独立 设计 ， 同 时 降低 各 部 分 间 的 耦合 度 ， 那 么 在 系统 后 续 运 行 、 维 护 、 调 整 中 ， 系 统 内 大 
量 相互 牵扯 的 因素 将 导致 牵 一 发 而 动人 全身， 这些 被 “ 动 了 的 全 身 ” 进 而 会 引发 更 多 的 问题 ， 
最 终 整 个 系统 将 变 得 不 可 管理 、 不 可 维护 。 

基于 上 述 原 因 ， 为 了 有 效 运 行 、 管 理 、 维 护 复 杂 系 统 ， 并 提高 设计 效率 ， 必 须 将 系统 进 
行 分 解 。 对 复杂 系统 的 分 解 ， 通 常 有 分 层 和 分 块 两 种 方式 。 程 序 设计 中 的 模块 化 编程 、 面 向 
对 象 编程 ， 都 是 典型 的 以 分 块 的 方式 来 分 解 复杂 系统 的 手段 ， 而 操作 系统 的 分 层 设 计 、 网 络 
协议 的 层次 结构 ， 则 是 分 层 分 解 方式 的 典型 。 

分 层 在 复杂 系统 设计 中 带 来 的 效率 、 可 维护 性 的 提升 是 不 容 置 颖 的 ， 但 分 层 也 并 非 是 毫 
无 “副作用 ”的 灵丹妙药 。 层 次 的 划分 ， 在 系统 运行 过 程 中 需要 一 定 的 开销 ， 会 造成 部 分 性 
能 损失 ， 随 着 硬件 运行 速度 的 迅猛 发 展 ， 与 设计 效率 的 提高 及 系统 可 维护 性 相 比 ， 这 种 性 能 
损失 是 完全 可 以 接受 乃至 忽略 不 计 的 。 

B 

语 用 导 | 层 间 

传输 往日 
@ 网 络 
链 路 


天 | 项 下 邢 


图 1-3 对 等 层 、 对 等 层 实体 、 层 间接 口 


1.2.1 OSI 参考 模型 


OSI 开放 系统 互联 参考 模型 把 网 络 分 为 七 个 层次 ， 如 图 1-4 所 示 ， 从 下 往 上 ， 依 次 称 为 
第 一 层 、 第 二 层 ， 直 至 第 七 层 。 其 中 物理 层 、 链 路 层 、 网 络 层 通常 用 于 在 网 络 中 传递 数据 ， 
构成 整个 网 络 的 通信 子 网 。 而 组 成 资源 子 网 的 各 类 主机 ， 不 仅 包 含 第 一 至 第 三 层 协议 ， 还 涵 
盖 第 三 层 以 上 用 于 保障 数据 正确 传输 、 实 现 多 种 多 样 网 络 应 用 功能 的 各 层 协议 。 
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图 1-4 OSI 七 层 模型 示意 图 


需要 注意 的 是 ，OSI 与 ISO 常常 容易 混淆 。OSI 是 一 个 具体 的 规范 标准 ， 而 ISO 是 制定 
标准 的 机 构 。OSI 是 ISO 制定 的 标准 之 一 ，ISO 还 制定 了 许多 其 他 标准 ， 比 如 ， 日 程 生活 中 
常见 的 ISO 9001 标准 ， 就 是 SO 9000 系列 所 包括 的 一 组 质量 管理 体系 的 核心 标准 之 一 。 在 
许多 日 用 品 的 包装 上 可 看 到 ISO 9001 标志 ， 这 通常 意味 着 某 种 程度 上 的 品质 保障 。 

传输 网 络 数据 的 光纤 、 双 绞 线 等 物理 介质 位 于 物理 层 之 下 。 而 物理 层 的 功能 在 于 ， 定 义 
网 络 连 接 器 有 多 少 帧 、 什 么 样 的 信号 表示 “1”、 什 么 样 的 信号 表示 “0”、 每 个 “1” 或 “0” 
在 信道 上 持续 多 长 时 间 等 机 械 、 电 气 规范 。 

链 路 层 的 主要 功能 是 媒体 访问 控制 、 帧 同步 、 流 量 控制 。 在 采用 广播 信道 的 网 络 中 ， 信 
道 被 多 个 主机 共享 ， 因 而 存在 对 共享 信道 的 访问 冲突 ， 媒 体 访问 控制 用 于 管理 对 共享 信道 的 
访问 , 以 减少 冲突 , 并 有 效 处 理发 生 的 冲突 。 帧 同步 , 指 的 是 识别 物理 传输 介质 上 连续 的 “0”、 
“1” 比 特 流 ， 从 中 分 离 出 一 个 一 个 的 帧 Erame)， 如 图 1-5 所 示 ， 其 中 深 色 部 分 代表 识别 出 
的 一 个 帧 。 流 量 控制 则 用 于 协调 数据 发 送 、 接 收 双方 的 数据 传输 率 ， 以 实现 在 数据 正确 传输 
的 前 提 下 ， 尽 可 能 提高 传输 效率 。 


| 1010Piiioiooloiliiglo1110101 比 特 流 


图 1-5 帧 同步 示意 图 


简单 地 说 , 网 络 层 的 功能 在 于 编 址 和 寻 址 。 编 址 类 似 于 为 某 个 小 区 的 住户 分 配 门 牌号 码 ， 
其 作用 是 为 网 络 中 的 不 同 主机 分 配 不 同 的 地 址 编码 ， 从 而 加 以 区 分 。 寻 址 ， 网 络 专业 术语 称 
为 路 由 ， 或 称 路 径 选 择 ， 是 指 根据 目的 主机 的 地 址 ， 来 决定 数据 包 应 该 走向 哪 条 网 络 路 径 。 

传输 层 的 功能 是 对 网 络 层 功能 的 进一步 扩展 ， 网 络 层 实现 将 数据 传输 至 目的 主机 ， 但 数 
据 将 会 由 目的 主机 中 的 哪个 应 用 程序 来 接收 处 理 ， 则 取决 于 传输 层 的 机 制 。 可 以 这 样 理解 ， 
网 络 层 提 供 的 是 主机 端 到 端的 传输 能 力 ， 而 传输 层 提供 的 是 主机 内 应 用 程序 端 到 端的 传输 
能 力 。 

会 话 层 允 许 不 同 主机 上 的 用 户 之 间 建 立会 话 ， 包 括 对 话 控制 、 发 言 管理 、 同 步 等 服务 。 

表示 层 之 下 的 各 层 ， 主 要 关注 如 何 传递 数据 ， 而 表示 层 关注 的 是 所 传递 信息 的 语法 和 语 
义 。 不 同体 系 结构 的 计算 机 可 能 会 使 用 不 同 的 数据 表示 方法 ， 为 了 让 这 些 计算 机 间 能 正确 通 
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信 ， 所 交换 的 数据 结构 必须 以 一 种 抽象 的 方式 来 定义 。 一 个 典型 的 例子 是 ， 在 存储 数据 时 ， 
x86 架构 的 计算 机 使 用 的 是 低位 在 前 QLitle-Endian) 的 方式 ， 比 如 一 个 16 位 二 进 制 数 1234H， 
在 内 存 的 低地 址 字 节 存放 的 是 34H,， 在 高 地 址 字 节 中 存放 的 是 12H， 而 PowerPC、SPARC 和 
Motorola 处 理 器 则 通常 使 用 的 是 高 位 在 前 (Big-Endian) 的 方式 ， 同 样 的 1234H， 在 内 存 中 存放 
的 两 个 字 节 的 地 址 顺序 则 是 相反 的 。 

应 用 层 包 含 了 多 种 根据 用 户 的 不 同 应 用 需求 而 制定 的 协议 。 


1.2.2 TCPI/IP 参考 模型 


TCP/IP 参考 模型 分 为 链 路 层 、 网 络 层 、 传 输 层 、. 应用 . 
层 四 个 层次 。 TCP/IP 参考 模型 和 OSI 七 层 模型 的 对 应 关系 le 


如 图 1-6 所 示 。 ee 

显而易见 的 是 , TCP/IP 模型 简化 了 OSI 模型 , 这 也 是 传输 层 | ”| 传输 民 
TCP/IP 成 为 当前 网 络 协议 的 事实 标准 的 主要 原因 。 事实 。 | _mSR| 网 络 导 
上 ，OSI 模型 作为 国际 标准 化 组 织 制定 的 一 种 网 络 理论 体 me 链 路 导 


系 结构 ， 从 未 被 真正 意义 上 的 产品 实现 过 。 O5I 模 型 TCP/IP 模 型 

TCP/IP 模型 中 ， 对 链 路 层 并 未 作出 明确 限定 ， 根 据 网 “图 1.6 两 种 网 络 体系 结构 对 应 关系 
络 使 用 的 硬件 的 不 同 ， 支 持 多 种 不 同 的 链 路 层 、 物 理 层 协 
议 ， 如 以 太 网 、 令 牌 环 网 、FDDIGCEiber Distributed Data Interface， 光 纤 分 布 式 数据 接口 )、 
ATM(Asynchronous Transmission Mode， 异步 传输 模式 ) 及 RS-232 串 行 线路 协议 等 。 因 此 ,为 
了 在 针对 有 具体 协议 进行 分 析 时 表述 方便 ， 通 常 将 TCP/IP 模型 中 的 链 路 层 分 解 为 类 似 OSI 七 
层 模型 的 链 路 层 协 议 、 物 理 层 协议 。 以 下 针对 TCP/IP 协议 网 络 系统 进行 分 析 时 ， 均 采用 这 种 
方式 。 

对 网 络 协议 进行 分 析 ， 首 先 需 要 了 解 一 次 通信 过 程 中 数据 在 各 层 间 流动 的 情况 。 在 一 次 
数据 发 送 操作 中 ,数据 在 各 层 间 流 动 的 方向 是 由 上 往 下 ， 从 最 高 的 应 用 层 ， 向 下 流向 传输 层 、 
网 络 层 、 链 路 层 、 物 理 层 ， 直 至 物理 线路 ， 如 图 1-7 所 示 。 需 要 强调 的 是 ， 除 了 从 链 路 层 到 
物理 层 ， 数 据 在 其 他 各 层 网 络 协议 间 由 高 层 向 低层 流动 时 ， 每 下 降 一 层 ， 所 传递 的 数据 就 会 
被 加 上 一 个 相应 层次 的 头 部 (Header， 又 称 首部 ) 信 息 。 


应 用 数据 应 用 程序 

[HA | 应 用 数据 应 用 层 

Hr | Hs | 应 用 数据 传输 层 

[| 五 | | 应 用 数据 网 络 层 
机 | Hi | | HA | 应 用 数据 | Tr | | 链 路 层 
1010011............1001010 物理 层 


图 1-7 发 送 过 程 中 ， 数 据 在 各 层 间 的 流动 


图 1-7 中 ， 、HN、 于 .分 别 表 示 应 用 层 头 部 、 传 输 层 头 部 、 人 头 部 和 链 路 层 
头 部 。 er 除了 被 加 上 一 个 头 部 信息 外 ， 在 链 路 层 ， 还 会 被 加 上 一 个 


链 路 层 尾 部 (Tail， 图 1-7 中 以 立 表示 。 
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下 面 通 过 一 个 实际 操作 中 捕获 (Capture) 到 的 网 络 数据 包 分 析 ， 来 验证 数据 在 各 层 网 络 协 
议 间 的 流动 过 程 ， 如 图 1-8 所 示 。 网 络 数据 包 的 捕获 和 分 析 ， 需 要 用 协议 分 析 工 具 来 完成 。 
网 络 数据 包 捕获 动作 也 称 为 抓 包 ， 相 关 工 具 的 用 法 将 在 后 文中 介绍 。 

图 1-8 所 示 是 一 次 FTP 登录 操作 中 捕获 到 的 网 络 数据 。FTP(File Transfer Protocol， 文 件 
传输 协议 ) 是 被 广泛 用 于 在 网 络 上 存放 、 处 理 文件 的 协议 。 


[ETTTYTRTTT7YTN 和 ET -IDx| 
Ele Ed Yew go capture Anayre 了 akistics Help es 到 | 
| EE 二 ”| 

OF 1 192. 168.0. 到 192 . SEE QET SRS 1248 > ftp [ACK] seq=I 引 
62.5192.168.0. 192 .168.0. FT Request: 加 


] 
FTETS 6 C65 bytes on wire, 65 bytes captured) 
EIEN II, Src: Micro- st_2f:14:2f (00:11:09:2f:14: 2f), Dst: Fujians 
=- INternet Protoco]l, | 
a Transmission control Protocol, Src Port: 1248 C1248) ， Dst Port: ftp 
File Transfer Protocol (FTP) 
mUSER test\r\n 


4 上 | 划 | 
00 do f8 08 9a a7 00 11 09 zf 14 2f 08 00 45 00 ........ Sa 
00 33 18 6a 40 00 80 06 60 fe co a8 00 0b co0 a8 .3.j@... ....... 
00 01 04 e0 00 15 7f c3 Of 31 Of 00 12 35 50 18 ........ .1... 
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应 用 层 头 部 应 用 程序 数据 
图 1-8 FTP 登录 操作 过 程 中 的 应 用 层 数据 


使 用 FTP 协议 进行 网 络 文件 操作 ， 需 要 输入 用 户 名 、 口 令 进行 登录 。 本 例 中 FTP 客户 
端的 人 地 址 是 192.168.0.11，FTP 服务 端的 下 地址 是 192.168.0.1， 对 应 于 图 1-8 上 方 地 址 信 
息 区 域 左 侧 源 地 址 (Source) 栏 和 右 侧 目的 地 址 (Destinatiom) 栏 。 

图 1-8 中 , 捕获 到 的 网 络 数据 包 被 解析 为 各 个 层次 的 协议 ， 见 该 图 中 部 的 协议 信息 区 域 。 
我 们 从 应 用 层 开 始 对 这 个 数据 包 进 行 分 析 ， 由 图 可 见 ， 图 中 部 深 色 部 分 的 “File Transfer 
Protocol(FTP)”， 表 明 当 前 的 FTP 操作 被 准确 识别 出 来 了 。 图 下 部 显示 的 是 当前 网 络 数据 包 
对 应 的 十 六 进 制 数据 ， 并 在 其 右 侧 显示 了 对 应 的 ASCII 码 。 

通过 对 当前 网 络 数据 包 十 六 进 制 数据 及 其 ASCI 码 的 分 析 ， 验 证 了 前 文 所 述 ， 应 用 程序 
数据 在 向 下 流动 到 应 用 层 时 ， 被 加 入 了 应 用 层 头 部 的 概念 。 本 数据 包 中 ， 应 用 程序 数据 是 
“test”， 表 明 当 前 要 登录 FTP 的 用 户 名 是 “test”， 而 当前 要 做 的 FTP 动作 是 向 FTP 服务 器 
发 送 用 户 名 ， 因 而 被 加 入 的 应 用 层 头 部 信息 是 “USER”。 加 入 应 用 层 头 部 信息 后 ， 完 整 的 
应 用 层 数据 在 图 中 数据 区 以 反 色 方式 标记 出 来 。 

图 1-9 是 当前 数据 包 传 输 层 数据 的 解析 。 图 中 部 反 色 部 分 ， 表 明 当前 数据 包 传 输 层 使 用 
的 TCP(Transmission Control Protocol)， 其 源 端 口 是 1248， 目 的 端口 是 FTPGTP 协议 的 控制 
连接 使 用 的 默认 端口 是 21)。 通 过 对 图 1-9 中 下 方 数据 的 观察 ， 结 合 图 1-8 可 以 发 现 ， 传 输 层 
的 头 部 信息 ， 是 紧 挨 着 应 用 层 数据 的 ， 从 而 验证 了 图 1-7 所 述 ， 数 据 向 下 层 流动 时 ， 被 加 入 
头 部 信息 的 概念 。 
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传输 层 头 部 
图 1-9 FTP 登录 操作 过 程 中 的 传输 层 数 据 


同样 的 道理 ， 对 比 图 1-10 和 图 1-9 可 知 ， 网 络 层 头 部 也 是 紧邻 着 传输 层 数据 。 图 1-10 
中 部 解析 的 数据 表明 了 当前 数据 包 的 源 卫 、 目 的 卫 以 及 使 用 的 瑟 协议 版 本 号 。 


| 
“Frame 6 C65 bytes on wire, 65 bytes captured) 了 
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网 络 层 头 部 
图 1-10 FTP 登录 操作 过 程 中 的 网 络 层 数据 


数据 发 送 过 程 中 ， 数 据 由 高 层 流向 低层 ， 数 据 被 逐 层 添加 头 部 信息 ， 到 达 物 理 层 时 ， 原 
全 应 用 程序 数据 已 经 被 加 入 了 应 用 层 头 部 、 传 输 层 头 部 、 网 络 层 头 部 、 链 路 层 头 部 ， 并 在 数 
据 尾部 加 入 了 链 路 层 尾 部 信息 ， 这 个 过 程 称 为 数据 封装 。 

数据 到 达 目 的 地 后 ， 数 据 流向 则 变 为 由 低层 流向 高 层 ， 此 时 ， 数 据 每 向 高 层 流动 一 层 ， 
则 被 去 掉 该 层 的 头 部 信息 ， 比 如 ， 数 据 由 链 路 层 流 向 网 络 层 ， 则 链 路 层 头 部 、 链 路 层 尾部 被 
去 掉 ， 以 此 类 推 ， 直 至 数据 到 达 接 收 方 的 应 用 程序 ， 这 个 过 程 称 为 解 封装 。 不 难 理解 ， 到 达 
目的 应 用 程序 后 ， 数 据 已 被 去 掉 各 层 头 部 信息 ， 还 原 成 原始 的 应 用 程序 数据 。 

数据 在 发 送 方 由 高 层 流向 低层 直至 物理 线路 ， 在 接收 方 由 低层 流向 高 层 直至 应 用 程序 ， 
这 个 过 程 对 各 层 协议 来 说 ， 是 “透明 ”的 。 通 过 前 文 对 网 络 体系 结构 分 层 的 原因 分 析 可 知 ， 
每 层 协议 只 负责 完成 本 层 的 功能 , 并 与 相 邻 层 次 交换 数据 , 不 关心 除 此 之 外 的 任何 其 他 事情 。 
因此 ， 某 协议 层次 Y 之 外 其 他 层次 的 工作 ， 第 YX 层 协议 完全 不 知情 ， 也 无 须 了 解 。 例 如 ， 发 
送 方 的 应 用 程序 1 将 数据 通过 网 络 传递 到 接收 方 的 应 用 程序 2， 此 过 程 中 实际 数据 流向 是 ， 
在 发 送 方向 下 经 历 了 应 用 层 、 传 输 层 、 网 络 层 、 链 路 层 ， 到 达 物 理 线路 ， 然 后 在 接收 方 依次 
向 上 历经 各 层 ， 如 图 1-11 中 的 实心 箭头 方向 所 指 。 然 而 ， 对 数据 收发 双方 的 对 等 层 而 言 ， 并 
不 了 解 实际 数据 的 流动 过 程 ， 而 只 知道 数据 从 发 送 方 的 某 层 实体 发 出 ， 在 接收 方 的 对 等 层 实 
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体 则 可 接收 到 数据 。 以 图 1-11 中 传输 层 的 两 个 对 等 层 实体 为 例 , 对 接收 方 的 传输 层 实体 而 言 ， 
它 认 为 数据 直接 来 自 于 发 送 方 的 传输 层 实体 ， 见 图 1-11 中 虚线 箭头 ， 这 就 是 我 们 所 说 的 “ 透 
明 ”， 两 个 传输 层 实体 不 了 解 、 不 关心 实际 数据 的 流动 方向 和 流动 过 程 ， 实 际 数据 的 流动 过 
程 对 两 个 对 等 层 实体 而 言 是 “透明 ”的 。 

应 用 程序 1 应 用 程序 2 


Ds 
| 101001101001011101011101011010010 


图 1-11 实际 数据 流向 、 对 等 层 数据 流向 


1.3 ”TCP/IP 协议 基础 


计算 机 网 络 的 鼻祖 一 一 ARPANET， 是 由 美国 国防 部 资助 的 一 个 研究 性 网 络 ， 最 初 是 为 
军事 目的 而 设计 的 ， 其 基本 思路 是 ， 当 局 部 地 区 因 战 争 等 原因 遭受 打击 、 破 坏 时 ， 全 国 范围 
的 骨干 网 络 能 保持 正常 运行 ， 以 保障 通信 、 指 挥 系统 的 运转 。 除 此 之 外 ， 这 个 网 络 还 需要 具 
备 无 颖 连接 多 种 网 络 的 能 力 。 经 过 一 段 时间 的 发 展 ，ARPANET 所 采用 的 网 络 体系 结构 逐渐 
演变 为 TCP/IP 参考 模型 。 全 球 范围 的 Intemet, 正 是 基于 ARPANET 发 展 壮大 的 , 因此 ,TCP/IP 
参考 模型 被 称 为 事实 上 的 网 络 标准 。 


1.3.1 链 路 层 协 议 


为 了 实现 多 种 不 同类 型 网 络 的 互联 ，TCP/IP 协议 体系 的 链 路 层 并 没有 定义 具体 内 容 ,而 
是 采取 直接 支持 以 太 网 、 令 牌 环 网 、FDDI、ATM 异步 传输 模式 ) 及 RS-232 等 多 种 链 路 层 、 
物理 层 协 议 的 方式 。 也 就 是 说 ， 这 些 成 熟 的 链 路 层 协议 ， 可 直接 应 用 于 TCP/P 体系 。 

在 TCP/IP 所 支持 的 链 路 层 协 议 中 ， 令 牌 环 网 已 是 昨日 黄花 ， 而 以 太 网 经 过 三 十 余年 的 
发 展 ， 因 为 其 简单 易 用 、 技 术 规 范 标准 化 、 更 新 快 、 广 家 支持 等 原因 ， 正 处 于 如 日 中 天 的 阶 
段 。 目 前 ， 发 展 初期 定位 为 局 域 网 的 以 太 网 ， 有 日 益 向 广域网 延伸 的 趋势 。 

日 常生 活 中 ， 经 常 看 到 、 听 到 的 “以 太 网 ”这 个 名 词 ， 究 竞 是 什么 意思 ? 这 个 概念 有 着 
什么 样 的 内 涵 ? 这 是 我 们 需要 明确 的 问题 。 

首先 要 了 解 的 是 , 以 太 网 是 局 域 网 的 一 种 。 局 域 网， 是 连接 小 范围 地 理 区 域 的 通信 网 络 。 
局 域 网 通常 使 用 广播 信道 /多 路 访问 信道 ， 主 要 关注 的 是 对 共享 信道 的 访问 控制 ， 我 们 知道 ， 
这 正 是 链 路 层 协 议 的 主要 内 容 。 广 播 信 道 ， 意 味 着 网 络 上 的 所 有 节点 共享 同一 信道 ， 一 个 节 
点 发 出 数据 ， 所 有 其 他 节点 都 能 收 到 此 数据 。 当 多 个 节点 同时 发 送 数 据 时 ， 则 会 导致 信道 冲 
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突 (Collision)， 因 此 需要 信道 访问 控制 。 除 以 太 网 以 外 ， 典 型 的 局 域 网 类 型 有 令 牌 环 网 (目前 
已 被 淘汰 )、FDDI 网 络 、ATM 网 络 等 。 

局 域 网 规范 由 链 路 层 协 议和 物理 层 协议 构成 ， 作 为 目前 最 为 广泛 应 用 的 局 域 网 ， 以 太 网 
| 一 系列 协议 标准 构成 。1979 年 初 ， 美 国 施乐 (Xerox) 公 司 和 DEC 公司 共同 提出 建造 以 太 网 
的 设想 ， 其 后 ，Intel 的 加 入 加 速 了 以 太 网 的 发 展 。1980 年 9 月 30 日 ，DEC、Intel 和 施乐 公 
布 了 “以 太 网 ， 一 种 局 域 网 ， 数 据 链 路 层 和 物理 层 规范 ，1.0 版 ”， 即 著名 的 以 太 网 蓝皮书 ， 
也 称 为 DIX 以 太 网 1.0 规范 。1982 年 公布 了 DIX 以 太 网 2.0 规范 。IEEE 成 立 了 一 个 定义 与 
促进 工业 局 域 网 标准 的 名 为 “802 工程 ”的 委员 会 ，1981 年 6 月 ，IEEE 成 立 了 802.3 分 委员 
会 ， 负 责 基于 DIX 2.0 规范 的 标准 化 。IEEE 802.3 涵盖 了 物理 层 协议 、 链 路 层 的 媒体 访问 控 
制 协 议 。 因 此 ， 在 不 严格 区 分 时 ， 以 太 网 、DIX 2.0、IEEE 802.3 三 者 通常 被 看 做 同一 事物 。 
IEEE 802.3 的 媒体 访问 控制 协议 是 CSMA/CD(Carrier Sense Multiple Access with Collision 
Detection， 带 冲突 检测 的 载波 监听 多 路 访问 )， 这 也 是 以 太 网 的 基本 标志 。 

由 此 可 以 这 样 描 述 ， 以 太 网 是 采用 CSMA/CD 媒体 访问 控制 协议 的 一 种 局 域 网 类 型 ， 由 
一 系列 IEEE 802 协议 规范 。 典 型 的 其 他 局 域 网 还 有 令 有 牌 环 网 、FDDI 网 、ATM 网 。 

以 大 网 所 采用 的 CSMA/CD， 意 味 着 按照 如 下 方式 来 访问 共享 的 信道 。Multiple Access， 
即 多 路 访问 , 表明 多 台 主 机 连接 到 同一 总 线 上 , 即 多 主机 共享 信道 , 不 能 同时 发 送 数 据 。 Carrier 
Sense， 载 波 监听 ， 意 指 在 主机 发 送 数据 前 ， 需 要 先 检 测 总 线 上 是 否 有 其 他 主机 正在 发 送 ， 如 
有 ， 则 和 暂时 不 发 送 ， 以 免 发生 冲 突 。 载 波 监听 机 制 并 不 能 完全 避免 冲突 产生 ， 考 虑 如 图 1-12 
的 情况 ， 在 力 时 刻 ， 信 道 空间 ， 主 机 A 开始 发 送 数据 ， 在 经 历 了 一 定时 间 后 的 加 时 刻 ， 另 一 
主机 B 要 发 送 数据 ， 基 于 载波 监听 的 机 制 ，B 首先 检测 总 线 是 否 空间 ， 由 于 信号 在 物理 线路 
上 传递 需要 时 间 ，A 发 出 的 数据 尚未 到 达 B， 因 而 此 时 B 会 误 以 为 总 线 处 于 空闲 状态 ， 也 开 
始 发 送 数据 , 则 A 发 出 的 数据 和 B 发 出 的 数据 会 在 时 刻 相遇 ,从 而 产生 冲突 。 产生 冲突 后 ， 
总 线 上 的 数据 处 于 不 确定 状态 ，A 和 B 都 需要 重新 发 送 ， 冲 突 检测 (Collision Detection) 机 制 
就 是 为 此 设置 的 。 为 了 避免 A 和 B 重新 发 送 数据 时 又 产生 冲突 ， 通 常 采取 的 方法 是 ， 令 A 
和 B 都 等 待 一 个 随机 时 间 段 ， 然 后 再 次 进行 载波 监听 ， 并 在 总 线 空闲 的 条 件 下 重 发 数据 。 冲 
突 检 测 是 伴随 着 数据 发 送 动作 一 直 进 行 的 , 即 一 边 发 送 数据 , 一 边 检测 冲突 , 一旦 出 现 冲突 ， 
马上 停止 数据 发 送 。 


A 


to 


时 
间 


图 1-12 载波 监听 情况 下 ， 可 能 发 生 冲 突 


根据 CSMA/CD 的 工作 原理 可 知 ， 这 种 媒体 访问 控制 协议 ， 工 作 原 理 比较 简单 ， 实 现 相 
对 容易 ， 在 总 线 不 繁忙 的 情况 下 ， 产 生 冲 突 的 概率 较 低 ， 网 络 通信 系统 能 有 效 运 转 。 然 而 ， 
当 总 线 上 的 通信 数据 量 比 较 大 时 ， 产 生 冲 突 的 概率 则 大 幅 上 升 ， 冲 突 越 多 ， 意 味 着 各 主机 的 
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链 路 层 就 要 进入 随机 等 待 状态 ， 而 不 能 传输 数据 ， 当 总 线 负 载 很 重 时 ， 几 乎 所 有 的 时 间 都 用 
在 冲突 处 理 上 ， 整 个 信道 的 利用 率 变 得 极 低 甚至 接近 于 零 。 
另 一 种 典型 的 媒体 访问 控制 协议 是 令 牌 环 网 所 采 
用 的 协议 ， 称 为 令 牌 环 协议 ， 如 图 1-13 所 示 。 令 牌 环 网 加 中 

的 线路 由 一 个 环形 总 线 组 成 。 总 线 空闲 时 ， 有 一 个 令 牌 
绕 环 运行 ， 所 有 主机 只 有 获得 令 牌 后 才能 发 送 数据 。 获 
得 令 牌 的 主机 ， 在 发 送 数据 前 ， 先 删除 令 牌 ， 发 出 一 份 
数据 后 ， 该 主机 则 产生 一 个 新 的 令 牌 。 令 牌 环 协议 的 工 
作 原 理 决定 了 在 这 种 网 络 中 ， 不 会 产生 冲突 ， 网 络 上 的 
所 有 主机 享有 均等 的 发 送 数据 的 机 会 。 在 通信 和 负载 很 重 
的 情况 下 ， 信 道 利用 率 接近 100%。 然 而 ， 令 牌 环 网 的 “一 四 
环形 总 线 结构 ， 在 网 络 连接 方式 、 所 需 硬件 支持 上 ， 都 。 图 113 令 牌 环 网 的 媒体 访问 控制 
比较 复杂 、 成 本 较 高 。 其 技术 标准 不 够 开放 ， 与 以 太 网 相 比 更 新 明显 滞后 ， 目 前 这 种 局 域 网 

两 台 主机 的 链 路 层 实体 间 通 信 时 ， 为 了 识别 不 同 主机 ， 所 使 用 的 地 址 称 为 物理 地 址 ， 物 
理 地 址 是 附着 在 主机 的 网 络 接口 卡 (俗称 网 卡 ) 或 网 络 适 配器 上 的 ， 故 物理 地 址 又 称 硬件 地 址 。 
由 于 以 太 网 在 局 域 网 领域 的 绝对 统治 地 位 ， 在 不 严格 加 以 区 分 的 时 候 ， 以 太 网 所 使 用 的 媒体 
访问 控制 QMedia Access Control，MAC) 地 址 也 被 称 为 物理 地 址 或 硬件 地 址 。 严 格 来 讲 , MAC 
地 址 只 是 物理 地 址 (硬件 地 址 ) 的 一 种 。 

安装 了 Windows 系统 的 主机 ， 可 以 按 如 下 操作 来 查看 当前 网 卡 的 MAC 地 址 。 首 先 单 击 
“开始 ”菜单 ， 在 其 中 选择 “运行 ”菜单 项 ， 在 弹出 的 对 话 框 中 输入 “cmd”， 然 后 按 Enter 
键 ， 进 入 命令 行 模式 。 在 命令 行 模式 中 输入 “ipconfig /all” 命 令 ， 则 可 查看 当前 网 卡 的 相应 
信息 ， 如 图 1-14 中 的 深 色 部 分 。 在 UNIX/Linux 系统 主机 中 ， 则 可 使 用 ifconfig 命令 来 查看 
网 卡 的 MAC 地 址 。 


| 
(5) 版 权 所 有 1985-2993 Microsoft Corp. ] 


C:\Documents and Settings\hdministrator 并 Beonfig ys | 


Windows IP Configuration 


Host Name . . .......... : Un-2k3-chs 
Primary Dns Suffix . ......: 

Node Type . . ...... .Unknown 
IP Routing Enabled. . ......:No 

WINS Proxy Enabled. . . .....:No 


Ethernet adapter 本 地 连接 : 


Connection-specific DNS Suffix .: 


Description . . . . . . . . . . . : UMware Accelerated AMD PCNet Adapter 


Default Gateway . . ....... : 19.19.171.254 
DNS Servere .5.10.10.1790.32 
19.19.168.299 


C:\Documents and Settings\Administrator> El 


图 1-14 查看 网 卡 的 MAC 地 址 
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由 图 1-14 可 知 ，MAC 地 址 由 6 个 字 节 (48 比特 ) 组 成 。 合 法 的 MAC 地 址 在 全 球 都 是 唯 
一 的 ， 其 中 前 3 个 字 节 是 生产 网 卡 的 厂家 的 代码 ， 后 3 个 字 节 是 序号 。 若 某 个 MAC 地 址 的 
48 个 比特 全 部 为 “1”， 即 FF-FF-FF-FF-FF-FF， 则 代表 广播 地 址 ， 向 广播 地 址 发 送 的 数据 ， 
局 域 网 内 的 所 有 主机 都 能 收 到 并 处 理 。 当 网 卡 收 到 的 数据 内 的 地 址 不 是 广播 地 址 ， 也 不 是 本 
网 卡 的 MAC 地 址 时 ， 则 会 直接 将 其 丢弃 。 

链 路 层 发 送 、 接 收 的 数据 单位 ， 称 为 帧 。 以 太 网 的 帧 结构 如 图 1-15 所 示 ， 长 度 单 位 是 字 
节 。 图 中 的 目的 地 址 、 源 地 址 、 类 型 字段 ， 即 为 链 路 层 的 头 部 信息 ; 校 验 字段 ， 即 为 链 路 层 
的 尾部 信息 ; 数据 字段 , 是 链 路 层 所 运载 的 高 层 协议 的 数据 , 称 为 链 路 层 的 有 效 载荷 Payload)。 
传统 以 太 网 (DIX 2.0) 帧 的 有 效 载荷 长 度 范围 是 46~1500 字 节 。 
目的 地 址 | 源 地 址 | 类 型 | 数据 | 校 验 
长 度 6 6 2 46 ~ 1500 4 

图 1-15 ”以太 网 的 帧 结构 


由 图 1-15 可 见 ， 以 太 网 的 帧 头 长 度 为 6 十 6 十 2 三 14 字 节 , 帧 尾 4 个 字 节 , 帧 头 帧 尾 合计 
占用 18 个 字 节 ， 由 此 可 知 ， 传 统 以 太 网 最 短 的 帧 长 度 为 18 十 46 三 64 字 节 ， 最 大 的 帧 长 度 为 
18 十 1500 王 1518 字 节 。 

以 太 网 帧 中 的 “类 型 ”字段 ， 用 于 描述 帧 的 有 效 载 荷 的 协议 数据 类 型 。 例 如 ， 若 链 路 层 
的 上 一 层 协议 一 一 网 络 层 使 用 的 是 卫 协议 ， 则 类 型 字段 的 值 为 800H。 


1.3.2 网络 层 协议 


作为 网 络 层 的 主要 功能 ， 编 址 和 寻 址 的 功能 在 TCP/IP 体系 中 都 是 以 全 地 址 来 体现 的 。 
链 路 层 的 物理 地 址 ， 只 能 实现 单一 局 域 网 内 不 同 主机 的 区 分 与 定位 ， 要 实现 跨 局 域 网 乃至 整 
个 Intemet 范围 的 主机 定位 ， 则 必须 使 用 网 络 层 的 下 地址。 本 书 中 都 以 当前 常用 的 人 Pv4， 即 
卫 地 址 的 版 本 4 为 例 。 

图 1-14 所 示 的 ipconfig 命令 ,同样 可 以 用 于 查看 当前 主机 的 正 地址， 该 例 中 附着 于 网 
卡 上 的 人 P 地 址 在 “IP Address” 一 栏 中 被 列 出 。IP 地 址 是 一 个 32 比特 的 数字 ， 通 常 按 每 8 
位 一 个 字 节 的 方式 ， 用 4 个 十 进 制 数 以 “.” 号 隔 开 ， 称 为 PP 地 址 “点 分 十 进 制 ”表示 法 。 
例如 ， 许 多 家 庭 上 网 所 使 用 的 宽带 路 由 器 ， 默 认 的 下 地 址 通常 是 “192.168.1.1”。 

卫 地 址 在 整个 网 络 中 都 是 唯一 的 。 需 要 注意 的 是 ， 一 个 网 卡 上 可 以 设置 多 个 PP 地 址 ， 
但 一 个 地 址 不 能 同时 设置 在 多 个 网 卡 上 。 了 王 地 址 类 似 于 门牌 号 码 ， 若 两 栋 房 子 具有 同样 的 门 
牌号 码 ， 显 然 会 令 找 路 的 人 陷入 困惑 。 

卫 地 址 通常 可 以 被 理解 为 网 络 号 、 主 机 号 两 级 层次 结构 。 网 络 号 类 似 于 我 们 拨打 长 途 电 
话 时 的 区 号 ， 而 主机 号 可 看 作 是 区 内 号 码 。 按 网 络 号 、 主 机 号 的 长 度 不 同 ， 普 通用 于 主机 的 
卫 地 址 可 分 为 A、B、C 三 类 ， 如 图 1-16 所 示 。 
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A 类 地 址 |01 | 
| 一 8 位 网 络 号 站 24 位 主机 号 ”| 


B 类 地 址 |101 
-一 16 位 网 络 号 一 一 小 一 一 16 位 主机 号 一 一 "| 


C 类 地 址 |1101 


24 位 网 络 号 一 | 8 位 主机 号 一 | 
图 1-16 三 类 了 琴 地 址 


A 类 人 P 地 址 的 网 络 号 部 分 最 高 位 固定 为 0， 故 网 络 号 部 分 最 小 值 为 0， 最 大 值 为 
0111111111BGB 代表 二 进 制 数 ， 此 数 对 应 十 进 制 的 127)， 其 中 0 保留 不 用 ，127 用 于 表示 主 
机 自身 的 环 回 qLoopback) 地 址 ， 环 回 地 址 用 于 在 没有 网 络 环 境 的 主机 上 测试 网 络 应 用 程序 。 
因 去 掉 了 0 和 127， 故 A 类 地 址 的 可 用 网 络 号 范围 为 0 一 126。 

A 类 地 址 的 主机 号 部 分 若 为 全 0， 则 该 下 代表 一 个 网 络 ， 若 为 全 1， 则 该 下 代表 此 网 络 
的 广播 地 址 。A 类 地 址 具有 24 位 主机 号 ， 去 掉 全 0 和 全 1 的 两 个 全， 则 可 用 于 主机 的 中 地 


址 有 2” 一 2 个 。 
以 下位 61.187.54.10 的 A 类 地 址 为 例 ， 列 出 其 十 进 制 、 二 进 制 对 照 如 下 。 
61 .187 .54 .10 


00111101 .10111011 ~ .00110110 € .00001010 

若 后 24 比特 全 部 为 0， 即 成 为 61.0.0.0， 这 就 是 61.187.54.10 所 在 网 络 的 网 络 地 址 。 

若 后 24 比特 全 部 为 1， 成 为 61.255.255.255， 即 61.187.54.10 所 在 网 络 的 广播 地 址 。 

本 例 中 ，61.187.54.10 所 在 网 络 的 可 用 主机 人 P 地 址 范围 是 61.0.0.1 到 61.255.255.254， 总 
共有 2* 一 2 个 全 地 址 。 

用 类 似 的 方法 ， 可 快速 计算 出 B 类 、C 类 了 下 地 址 的 网 络 号 范围 、 网 络 数 、 主 机 号 范围 、 
主机 地 址 空间 、 可 容纳 的 主机 数 ， 如 表 1-1 所 示 。 


表 1-1 三 类 |IP 地 址 空间 
IP 地 圳 。 ”网络 号 范围 主机 地 址 空间 。 | 可 容纳 的 主机 数 
A 类 |.126 -26 lo01 255255254 |1001126255255254 | 216777214 


21=16384 |0.1~255.254 128.0.0.1~192.255.255..254 |2' - 2=65534 
27=2097152 |1~254 192.0.0.1~223.255.255.254 |2° - 2=254 


由 表 1-1 可 知 , A 类 他 地 址 空间 可 容纳 10 000 000 个 正 ,B 类 了 下 地址 空间 可 容纳 60 000 
多 个 正 , 而 C 类 了 下地 址 空间 仅 能 容纳 200 多 个 他， 对 下 地 址 分 配 的 粒度 差异 太 大 。 为 了 实 
现 卫 地 址 的 灵活 分 配 ， 实 际 采用 的 方式 打破 了 传统 A、B、C 三 类 地 址 的 固定 长 度 网 络 号 的 
模式 ， 而 是 将 大 的 网 络 分 解 为 多 个 小 的 网 络 ， 即 划分 子 网 (Subnetting)， 或 将 多 个 小 的 网 络 合 
并 为 规模 适中 的 中 型 网 络 ， 即 构造 超 网 (Supernetting)。 为 了 叙述 方便 ， 通 常 不 严格 区 分 划分 
子 网 和 构造 超 网 两 个 概念 ， 而 都 统称 为 子 网 划分 。 


B 类 |128.0~191.255 
C 类 |192.0.0~223.255.255 
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引入 子 网 划分 的 概念 后 ，P 地 址 的 网 络 号 不 再 只 能 是 8 位 、16 位 或 24 位 ， 而 是 根据 实 
际 需 要 灵活 设置 。 为 了 描述 子 网 划分 中 网 络 号 的 长 度 ， 需 要 引入 子 网 掩 码 (Subnet Mask) 的 概 
念 。 和 了 地 址 类 似 ， 子 网 掩 码 是 一 个 32 比特 的 数字 ， 它 与 他 地 址 中 的 32 位 一 一 对 应 ， 若 
卫 地 址 中 的 某 一 位 为 网 络 号 ， 则 子 网 掩 码 对 应 位 为 1， 否则 为 0。 因 IP 地 址 的 网 络 号 必然 是 
在 高 位 ， 主 机 号 在 低位 ， 且 网 络 号 部 分 和 主机 号 部 分 不 会 夹杂 出 现 ， 因 而 子 网 掩 码 必 须 是 1 
在 高 位 ( 左 侧 )，0 在 低位 ( 右 侧 )， 形 如 11..11 00..000。 

下 面 是 一 个 说 明子 网 扼 码 概念 的 例子 。 

【 例 1】 已 知 卫 : 128.1.1.6， 子 网 掩 码 : 255.255.128.0， 求 该 卫 所 在 子 网 的 网 络 地 址 、 
广播 地 址 、 可 用 主机 了 下 地址 范围 。 

首先 列 出 该 他、 子 网 扼 码 的 十 进 制 、 二 进 制 形式 如 下 : 


卫 地址 128 :1 | :6 
即 10000000 .00000001 .00000001 .00000110 
子 网 掩 码 11111111 .11111111 .10000000 . 00000000 


将 主机 号 部 分 全 部 改 为 0， 即 为 网 络 地 址 : 

网 络 地址 10000000 .00000001 .00000000 .00000000 

即 128 | :0 .0 

将 主机 号 部 分 全 部 改 为 1， 即 为 广播 地 址 : 

广播 地 址 10000000 .00000001 .01111111 .11111111 

即 js 了 | ;jo .255 

可 得 该 全 所 在 网 络 的 网 络 地 址 为 128.1.0.0， 广 播 地 址 为 128.1.127.255， 可 用 主机 下 地 
址 范围 是 128.1.0.1~128.1.127.254。 

子 网 掩 码 也 可 以 用 单个 数字 表示 ， 这 个 数字 来 自 于 子 网 掩 码 中 二 进 制 1 的 个 数 。 例 如 ， 
上 面 的 例子 中 ， 子 网 掩 码 为 255.255.128.0， 其 中 包含 了 17 个 二 进 制 1， 则 我 们 称 此 子 网 抢 码 
长 度 为 17， 该 他 地 址 可 表示 为 128.1.1.6/17。 

下 面 是 一 个 运用 子 网 掩 码 的 概念 实现 子 网 划分 的 例子 。 

【 例 2】 某 公 司 有 A、B、C 三 个 部 门 ， 部 门 A 有 180 台 PC， 部 门 B 有 1200 台 PC， 

部 门 C 有 120 台 PC, 各 部 门 的 PC 要 求 划分 到 不 同 子 网 中 .如何 从 一 个 B 类 网 络 166.111.0.0/16 
的 低地 址 段 分 出 大 小 最 合适 的 三 个 子 网 ? (要 求 写 出 各 子 网 可 用 主机 的 中 范围 )。 

进行 子 网 划分 ， 首 先 要 明确 划分 时 的 基本 原则 。 

子 网 太 大 (主机 号 太 长 )， 浪 费 可 用 主机 下 地 址 空间 。 子 网 太 小 (主机 号 太 短 )， 主 机 下 地 
址 空间 不 够 用 。 

因此 需要 以 2 为 单位 ， 寻 找 最 接近 ( 且 大 于 等 于 ) 所 需 主机 也 数量 的 2 。 

先 来 看 部 门 A。 部 门 A 所 需 主 机 数 为 180; 2 二 128，2* 二 256; 最 接近 (有 是 大 于 等 于 )180 
的 数 为 256, 故 需要 8 位 来 表示 主机 号 , 又 32 一 8 二 24, 故 为 部 门 A 划分 子 网 : 166.111.0.0/24， 
子 网 扒 码 : 255.255.255.0， 因 此 可 用 主机 下: 166.111.0.1~166.111.0.254。 

再 来 看 部 门 B。 部 门 B 所 需 主机 数 为 1200;2! 王 1024, 22 一 2048; 最 接近 ( 且 大 于 等 于 )1200 
的 数 为 2048, 故 需要 11 位 来 表示 主机 号 , 又 32 一 11 王 21, 故 为 部 门 B 划 分 子 网 :166.111.1.0/21， 
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子 网 掩 码 :255.255.248.0， 因 此 可 用 主机 IP: 166.111.1.1~166.111.8.254。 

表面 上 看 ,对 部 门 B 的 王 地 址 划分 已 经 完成 , 但 我 们 用 类 似 例 1 的 方法 ,对 166.111.1.0/21 
这 个 地 址 空间 进行 运算 ， 就 可 以 发 现 ， 这 个 地 址 空间 所 履 盖 的 下 地 址 范围 是 
166.111.0.0~166.111.7.255。 这 会 导致 什么 问题 呢 ? 对 比 前 面 已 经 划分 给 部 门 A 的 地 址 空间 ， 
可 以 发 现 ， 当 前 给 部 门 B 划分 的 空间 覆盖 了 部 门 A 的 空间 。 因 此 当前 的 划分 方法 是 错误 的 。 

导致 这 个 错误 的 原因 在 于 ， 对 卫 地 址 进行 划分 时 ， 是 以 22” 为 单位 进行 的 ， 其 中 z 为 
子 网 掩 码 长 度 。 例 如 子 网 痢 码 长 度 为 21， 则 划分 出 的 他 地 址 空间 将 以 22， 即 2048 个 中 为 
单位 。 因 此 如 果 要 保持 划分 给 部 门 A 的 下 地址 空间 不 变 ， 则 必须 将 部 门 B 的 卫 地 址 空间 向 
后 移 21 个 卫 ， 即 紧邻 166.111.1.0/21 的 下 一 个 包含 21 个 人 P 的 地 址 段 。 因 166.111.1.0/21 的 
地 址 段 为 166.111.0.0~166.111.7.255， 故 下 一 个 地 址 段 为 166.111.8.0~166.111.15.255， 用 IP/ 
子 网 掩 码 的 方式 可 表示 为 166.111.8.0/21。 

最 后 来 看 部 门 C 的 地 址 划分 。 

部 门 C 所 需 主 机 数 为 120，25“ 王 64，2 二 128; 最 接近 ( 且 大 于 等 于 )120 的 数 为 128， 故 需 
要 7 位 来 表示 主机 号 ， 又 32 一 7 二 25， 故 为 部 门 C 划分 子 网 ，166.111.1.0025， 子 网 掩 码 ; 
255.255.255.128， 因 此 可 用 主机 IP: 166.111.1.1~166.111.1.126。 

部 门 A、B、C 的 中 地 址 空间 可 形象 地 表示 为 图 1-17。 图 中 下 方 是 低地 址 段 ， 上 方 是 高 
地 址 段 。 每 一 行 表示 一 个 C 类 地 址 段 (24 位 掩 码 )。 


Es 部门 A 
部 门 B 
国门 C 


| 一 166.111.8.0/21 


166.111.1.0/25 


a hk— 166.111.0.0/24 


图 1-17 部 门 A、B、C 的 地 址 空间 


我 们 已 经 知道 ， 在 数据 的 发 送 方 ， 网 络 层 的 全 数据 包 (P Packeb 将 被 封装 在 链 路 层 的 帧 
里 ， 然 后 经 过 物理 层 发 送 到 网 络 线路 上 。 在 此 过 程 中 ， 对 发 送 方 的 网 络 层 而 言 ， 只 知道 目的 
地 的 下 地 址 ， 但 数据 最 终 要 向 下 流 到 链 路 层 ， 通 过 链 路 层 的 某 种 局 域 网 协议 ， 发 送出 去 。 而 
链 路 层 协 议 并 不 能 理解 封装 在 帧 的 有 效 载荷 里 面 的 中 地 址 ， 链 路 层 只 能 理解 物理 地 址 。 因 此 
需要 一 种 机 制 ， 在 数据 由 网 络 层 向 下 流向 链 路 层 时 ， 根 据 目的 地 的 了 地址， 得 到 目的 地 的 物 
理 地 址 (我 们 以 MAC 地 址 为 主 ), 这 正 是 处 于 网 络 层 的 ARP(Address Resolution Protocol, 地 址 
解析 协议 ) 的 功能 所 在 。 

对 ARP 协议 的 理解 ， 有 助 于 分 析 网 络 运行 状况 ， 判 断 各 种 网 络 故 障 。 例 如 ， 某 内 网 主 
机 要 访问 外 网 的 站 点 ， 则 它 首先 必须 与 自己 的 网 关 建 立 联 系 ， 将 访问 请 求 发 送 给 网 关 。 而 网 
关 必 然 是 与 该 内 网 主机 在 同一 网 络 (局 域 网 ) 中 ， 和 否则 无 法 直接 联系 。 因 此 ， 通 过 查看 内 网 主 
机 的 ARP 缓存 ,检查 有 没有 网 关 下 对 应 的 ARP 表 项 ， 是 判断 该 主机 能 否 访问 外 网 的 基本 方 
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ps 在 Windows/UNIX/Linux 操作 系统 中 ， 查 看 ARP 表 项 的 命令 是 一 致 的 ， 即 arp -a 命令 ， 
该 命令 使 用 实例 如 图 1-18 所 示 。 


D: Na 到 


Interface: 192. 168. 1. 66 ——— 0x2 
Internet Address Physical pee Type 
192. 168. 1. 254 00-90-d0-7b-87-2 dynamic 
D:\>arp -d * 


D: \>arp -a 
o ARP Entries Found 


-一 z 
图 1-18 ARP 绥 存 相关 操作 


由 图 1-18 可 见 ， 每 一 条 ARP 表 项 由 人 地 址 和 MAC 地 址 相对 应 。 主 机 与 网 关 正 常 通信 
的 基本 条 件 就 是 在 ARP 表 项 里 包含 网 关 了 P 对 应 的 MAC 地 址 。amp -a 用 于 查看 ARP 缓存 ， 
arp -d 用 于 删除 ARP 表 项 ，arp -s 10.10.0.1 00-aa-00-62-c6-09 用 于 设置 静态 ARP 表 项 。 

掌握 了 ARP 协议 工作 的 基本 原理 ， 以 及 卫 地 址 、MAC 地 址 间 的 关系 ， 就 可 以 用 简单 
的 ping 命令 来 了 解 主机 所 在 局 域 网 内 其 他 主机 的 一 些 情况 。 例 如 ， 主 机 A 想 了 解 主机 B 的 
MAC 地 址 ， 只 需 在 命令 行 方式 下 ping B 的 下， 即使 B 安装 了 一 般 的 防火 墙 ， 它 的 TCP/P 
协议 栈 也 会 作出 响应 ， 将 B 的 MAC 地 址 返回 给 主机 A。 此 时 ， 在 主机 A 上 按 图 1-18 操作 ， 
即 可 发 现 主机 B 的 ARP 表 项 。 

由 于 ARP 协议 的 工作 原理 比较 简单 ， 缺 乏 基 本 的 安全 机 制 ， 利 用 ARP 协议 进行 网 络 攻 
击 的 行为 非常 普遍 ， 给 广大 用 户 的 正常 网 络 通信 造成 严重 影响 ， 对 用 户 的 数据 安全 也 带 来 了 
极 大 威胁 。 

利用 ARP 协议 进行 攻击 的 典型 思路 是 ， 向 目标 主机 发 出 ARP 响应 数据 包 ， 里 面包 含 网 
关 的 卫 和 错误 的 MAC 地址 ， 目 标 主机 收 到 ARP 响应 数据 包 后 ， 不 会 检查 数据 包 的 合法 性 ， 
直接 更 新 其 ARP 缓存， 这 个 过 程 称 为 ARP 欺骗 (ARP Spoofing)。 遭 受 ARP 欺骗 的 目标 主机 
与 网 关 通 信 时 ， 会 将 数据 发 送 到 错误 的 MAC 地 址 上 ， 因 而 与 正确 的 网 关 失去 联系 ， 从 而 造 
成 与 外 部 网 络 中 断 。 利 用 类 似 的 原理 ,同时 使 用 ARP 欺骗 攻击 目标 主机 和 网 关 ， 则 能 实现 中 
间 人 攻击 (Man-in-the-Middle Attack)， 从 而 达到 捕获 目标 主机 所 有 网 络 通 信 数 据 的 目的 。 

图 1-19 演示 了 利用 ARP 欺骗 实现 中 间 人 攻击 的 原理 。 正 常 的 网 络 通信 过 程 中 ， 连 接 在 
同一 个 交换 机 上 的 主机 A、B 都 通过 路 由 器 (网 关 ) 访 问 Intermet。 图 1-19 说 明了 主机 A 对 B 
的 攻击 过 程 。 主 机 A 将 网 关 的 中 地 址 及 A 的 MAC 地 址 以 ARP 响应 包 的 形式 发 给 B， 让 B 
误 以 为 网 关 在 A 这 里 ， 此 时 所 有 B 对 Internet 的 访问 请 求 都 会 先 到 达 A， 然 后 转发 给 网 关 。 
同时 , 主机 A 将 B 的 下 地 址 及 A 的 MAC 地 址 以 ARP pp 让 网 关 误 
以 为 B 在 A 这 里 ， 此 时 所 有 网 关 返 回 给 B 的 数据 都 会 先 到 达 A， 再 由 A 转发 给 
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图 1-19 利用 ARP 欺骗 实现 中 间 人 攻击 


对 普通 用 户 而 言 , 防范 ARP 欺骗 可 行 的 办 法 是 , 在 网 络 正常 时 , 记 下 网 关 的 MAC 地 址 ， 
设置 一 条 静态 ARP 缓存 表 项 ， 此 表 项 不 会 被 ARP 响应 数据 包 更 新 。 然 而 ， 要 从 根本 上 杜绝 
ARP 欺骗 对 用 户 计算 机 及 网 络 环境 造成 的 影响 ， 需 要 支持 防范 ARP 攻击 的 交换 机 ， 结 合 相 
应 的 安全 策略 ， 才 能 有 良好 的 效果 。 

1.3.3 “传输 层 协 议 


TCP/IP 体系 的 传输 层 提供 了 两 类 服务 : 可 靠 传输 服务 (TCP 协议 ) 及 不 可 靠 传输 服务 (UDP 
协议 )。TCP 是 面向 连接 的 服务 ， 用 TCP 通信 ， 首 先 必 须 建 立 连 接 ， 并 且 在 传输 过 程 中 ， 协 
议 机 制 能 保障 数据 按 发 送 顺序 可 靠 到 达 目 的 地 。TCP 协议 适合 传输 对 可 靠 性 要 求 高 、 连 续 的 
大 量 数据 。TCP 连接 的 建立 、 释 放 过 程 都 需要 一 定 的 开销 ， 如 果 频 繁 建立 、 释 放 连 接 ， 会 导 
致 传输 效率 显著 降低 。UDP 是 无 连接 服务 ,通信 前 无 须 建立 连接 ， 任 何 时 候 只 需 直 接 将 数据 
发 出 即 可 。UDP 灵活 、 方 便 ， 不 存在 连接 管理 问题 ， 适 合 传输 间断 、 小 块 数 据 。UDP 提供 
的 是 一 种 不 可 靠 的 传输 服务 ， 如 传输 中 数据 出 现 丢 失 、 乱 序 的 问题 ，UDP 都 不 会 做 处 理 。 

TCP、UDP 分 别 适 应 不 同 的 应 用 场合 ， 当 需要 传输 连续 、 数 据 量 很 大 、 对 可 靠 性 要 求 高 
的 数据 时 ， 应 采用 TCP 协议 ， 而 在 需要 传输 大 量 离散 数据 ， 且 对 可 靠 性 要 求 不 太 高 时 ， 则 适 
合用 UDP 协议 。 

基于 网 络 层 编 址 、 寻 址 ( 即 路 由 ) 功 能 ， 数 据 能 从 一 台 主 机 到 达 网 络 中 任意 其 他 主机 ， 单 
数据 到 达 目 的 主机 后 ， 由 目的 主机 的 哪个 应 用 程序 来 处 理 ， 则 不 是 网 络 层 协议 所 能 解决 的 ， 
也 就 是 说 ， 网 络 层 实 现 的 是 主机 端 到 端的 传输 能 力 。 网 络 数据 的 发 送 、 接 收 ， 最 终 都 必须 由 
特定 的 应 用 程序 来 完成 ， 因 此 ， 必 须 引 用 新 的 机 制 ， 来 实现 网 络 数据 与 应 用 程序 的 关联 ， 这 
就 是 传输 层 的 端口 Porb 所 要 做 的 ， 所 以 说 ， 传 输 层 提 供 的 是 应 用 程序 端 到 端的 传输 能 力 。 

端口 ， 是 一 个 16 比特 的 数字 ， 故 端口 号 的 最 小 值 为 0， 最 大 值 为 65 535。 其 中 ，0 一 1023 
称 为 熟知 端口 (Well-Known Port)， 熟 知 端口 通常 用 于 关联 常用 的 网 络 服务 。 例 如 ，80 端口 党 
用 于 关联 Web 服务 ， 以 提供 网 页 浏览 服务 ，53 端口 常用 于 关联 DNS 服务 ， 以 提供 域名 解析 
服务 。 需 要 注意 的 是 ， 因 为 TCP/IP 的 网 络 层 提供 了 两 套 服务 一 一 TCP 和 UDP， 因此 对 应 就 
有 两 套 端口 机 制 。 也 就 是 说 ，TCP 有 一 套 端口 ， 从 0 到 65 535， 同 样 UDP 也 有 一 套 端口 ， 
从 0 到 65 535。 在 一 些 需要 严密 表述 的 场合 ， 仅 指出 端口 号 是 不 够 的 ， 还 应 当 指明 是 TCP 端 
口 还 是 UDP 端口 。 前 文 所 述 Web 服务 的 80 端口 ， 是 指 TCP 的 80 端口 ， 而 DNS 服务 的 53 
端口 ， 通 常 是 指 UDP 的 53 端口 。 


。18 。 计算 机 网 络 安全 教程 


卫 地 址 、 端 口 用 “: ”连接 起 来 ， 称 为 套 接 字 (Socket)， 用 于 描述 一 个 网 络 应 用 程序 的 
附着 点 ， 如 “192.168.1.1:80”。 进 行 通信 的 两 个 应 用 程序 ， 在 发 送 接 收 数据 之 前 都 需 指明 协 
议 类 型 ， 即 是 TCP 协议 还 是 UDP 协议 ， 然 后 设 定 好 源 套 接 字 、 目 的 套 接 字 ， 才 能 开始 数据 
传输 。 采 用 TCP 协议 进行 通信 的 一 对 套 接 字 ， 称 为 一 个 TCP 连接 。UDP 是 无 连接 服务 ， 故 
不 存在 UDP 连接 的 概念 ， 虽 然 UDP 通信 也 需要 一 对 套 接 字 。 已 建立 的 TCP 连接 实例 见 图 
1-20， 其 中 演示 了 查看 包含 TCP 连接 在 内 的 当前 网 络 状况 的 命令 netstat， 此 命令 适用 于 
Windows 系统 及 UNIX/Linux 系统 。netstat 命令 的 参数 -a 表示 显示 所 有 连接 和 监听 端口 ， 参 
数 -n 表示 以 数字 形式 显示 了 P 地 址 和 端口 号 (无 此 参数 则 会 以 主机 名 /域名 的 方式 显示 IP,， 以 服 
务 名 的 方式 显示 熟知 端口 号 )，-o 参数 仅 适用 于 Windows XP 及 Windows 2003 以 上 的 操作 系 
统 ， 表 示 在 显示 连接 及 端口 监听 状态 的 同时 ， 还 显示 使 用 此 连接 或 监听 端口 的 进程 ID， 并 以 
PID(Process DD， 进程 ID) 的 方式 列 出 。 

在 TCP 连接 建立 过 程 中 ， 等 待 连 接 的 一 方 称 为 服务 端 ， 其 特点 是 特定 的 某 个 TCP 端口 
处 于 监听 (Listening) 状 态 ， 即 该 TCP 端口 始终 处 于 开放 状态 。 发 起 连接 的 一 方 称 为 客户 端 ， 
其 相应 的 TCP 端口 仅 在 连接 发 起 的 时 候 才 打 开 ， 且 发 起 连接 方 的 TCP 端口 若非 特意 指定 ， 
均 由 系统 自动 分 配 。 因 0 一 1023 端口 为 熟知 端口 , 故 发 起 连接 方 的 TCP 端口 范围 通常 为 1024 一 
65 535。 


图 1-20 TCP 连接 实例 


TCP 连接 的 建立 ， 需 要 由 称 为 “三 次 握手 ”的 三 个 TCP 报 文 段 (TCP Segment) 来 实现 ， 
如 图 1-21 所 示 。 客户 端 首先 打开 一 个 用 于 建立 连接 的 端口 , 然后 向 服务 端的 特定 端口 发 送 一 
个 包含 SYN 标记 (表示 连接 建立 请 求 ) 的 报 文 段 ， 若 服务 端的 相应 端口 处 于 监听 状态 ， 则 向 客 
户 端 返回 一 个 包含 SYN 和 ACK 标记 的 报 文 段 ，ACK 标记 表示 确认 客户 端的 连接 请 求 ， 正 
常情 况 下 ， 客 户 端 再 向 服务 端 发 送 一 个 包含 ACK 标记 的 报 文 段 ， 以 通知 服务 端 当前 连接 已 
被 客户 端 确认 。 


客户 端 服务 端 
志 运 
主动 打开 端口 被 动 监听 端口 
连接 请 求 
SYN, ACK 
连接 确认 


ACK 
一 一 一 一 一 一 一 一 一 > 连接 确认 


图 1-21 TCP 三 次 握手 


第 1 章 网 络 协议 基础 “19。 


图 1-22 展示 的 是 一 次 TCP 连接 建立 过 程 中 捕获 到 的 TCP 报 文 段 数据 。 源 主机 人 P 为 
192.168.1.66， 目 的 主机 卫 为 61.183.0.11， 连 接 的 目的 端口 是 POP3 协议 所 用 的 110(TCP) 端 
口 ，POP3 协议 是 电子 邮件 系统 收 信 时 使 用 的 协议 ， 当 使 用 电子 邮件 客户 端 程序 (如 Outlook 
Express 等 ) 向 邮件 服务 器 收取 信件 时 ， 使 用 的 就 是 此 协议 。 


(Untitled) 


Ee ER Ven Gg Captue Ansyze Fatstcs Hep 


Protecol | Info 二 
1(192 .168 1.66 E11 5380 TCR II20P>IPoD3 STE 


3(192.168.1.66 61.183.0.11 TCP 1120 > pop3 [ACK] seq=: 
4(61.183.0.11 192.168.1.66 POP Response: +OK <12890.1:zl 


ae 到 
= Transmission Control Protocol, Src Port: 54 
Source port: 1120 (1120) 
Destination port: pop3 (110) lL 
I 
ETE = 划 
10020 00 Ob 04 60 00 6e remem [I 00 00 00 00 70 02 习 
10030 ff ff cf c1 00 00 02 04 05 b4 01 01 04 02 
上 Eee | 当 
(a) 


192.168.1.66 TCP 
30 1120 > pop A ed 
(机 183. Oa I 2 168.1.66 POP Response: +OK <12890" 


| 

FTransmission COnhEFOT ProtocoT, Src Port: pop3 (CII0), Ds 
Source port: pop3 (110) 

Destination port: 1120 (1120) | 
Sequence number: 0 (CET ) 


Acknowledgement number: 1 (relative ack number 
Header length: 28 bytes_ i 


Me 〇 ee ee 
020 01 42 00 6e 04 60 芭 村 3 灶 时 (ds ae 0f 00 d5 70 12 
030 63 48 87 e3 00 00 01 01 04 02 02 04 05 8c 


3(192.168.1.66 61.183.0.11] TCP 1120 > \ 
4(61.183.0.11 192.168.1.66 POP Response: +OK < 


Fi | 到 
= Transmission ControT ProtocoTl, Src Port: II20 (IT120), DA 
Source port: 1120 (1120) 

Destination port: pop3 (110) 

Sequence number: 1 (GET TD) 
Acknowledgement number: 1 (relative ack number) 
Header length: 20 bytes 加 
je ee DI 
0020 00 Ob 04 60 00 6e EC a4 31 40 7c 50 10 划 
lo030 ff ff 17 c8 00 00 习 
ee 


J | 
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图 1-22 TCP 三 次 握手 对 应 的 TCP 报 文 段 


注意 观察 图 1-22 中 ， 在 TCP 连接 的 建立 过 程 ， 每 个 TCP 报 文 段 所 包含 的 SYN、ACK 
标记 在 灰色 区 域 。 要 想 深入 了 解 协议 的 工作 细节 ， 可 对 此 报 文 段 的 其 他 字段 进行 细致 分 析 。 
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TCP 连接 的 释放 过 程 与 建立 过 程 类 似 ， 也 是 通过 三 个 TCP 报 文 段 来 实现 的 ， 区 别 在 于 
连接 建立 时 使 用 的 是 SYN 标记 ， 释 放 时 使 用 的 是 FIN 标记 。 

根据 TCP 三 次 握手 建立 连接 的 过 程 可 知 , 对 于 服务 端 而 言 , 在 向 客户 端 发 送 确认 连接 的 
ACK 报 文 自 后， 还 要 等 待 客户 端 返回 的 ACK 报 文 段 ， 以 完成 TCP 连接 。 在 等 待 客户 端 返回 
ACK 报 文 段 时 ， 服 务 端 必须 分 配 一 定 的 资源 ， 用 于 这 个 预期 的 TCP 连接 。 基 于 此 过 程 ， 恶 
意 用 户 可 伪造 源 人 P 地 址 ， 向 服务 端 发 起 TCP 连接 请 求 ， 服 务 端 向 伪造 的 源 他 返回 ACK， 
并 等 待 其 确认 ， 此 时 的 TCP 连接 状态 称 为 半 连 接 。 因 伪造 的 源 全 根本 没有 发 送 过 连接 请 求 ， 
或 者 伪造 的 正 根本 就 不 存在 ， 因 而 服务 端 会 一 直 等 待 三 次 握手 中 最 后 这 个 ACK 报 文 段 ， 直 
至 超时 。 在 此 过 程 中 ， 服 务 端 因此 而 分 配 的 资源 (CPU、 内 存 等 ) 会 一 直 被 占用 。 当 恶意 用 户 
向 服务 端 大 量 发 送 这 类 伪造 源 卫 的 TCP 请 求 时 ， 就 会 导致 服务 端的 资源 被 过 度 消 耗 ， 最 终 
无 法 为 普通 用 户 的 合法 TCP 请 求 分 配 资源 。 这 种 利用 大 量 TCP SYN 报 文 对 服务 器 进行 攻击 
的 方式 称 为 “SYN Flood”， 是 典型 的 拒绝 服务 DoS，Denial of Service) 攻 击 。 因 为 TCP/IP 
体系 在 设计 之 初 缺乏 足够 的 安全 机 制 ，SYN Flood 虽然 原理 简单 ， 但 攻击 危害 大 ， 且 较 难 彻 
底 解决 。 


1.3.4 ”应 用 层 协 议 


应 用 层 提供 了 丰富 多 样 的 各 类 应 用 服务 , 典型 的 应 用 层 协 议 有 DNS、HTTP、FTP、SMTIP、 
POP3 等 。 

DNS(Domain Name Service， 域 名 服务 ) 是 一 种 命名 系统 ， 提 供 由 "地 址 到 域名 ,或 由 域 
名 到 全 地址 的 解析 服务 。 网 络 通信 和 最终 都 是 以 他 地 址 来 识别 不 同 计算 机 , 但 卫 是 一 串 数字 ， 
难于 理解 和 记忆 。DNS 系统 可 为 PP 地 址 分 配 一 个 (或 多 个 ) 易 于 记忆 的 中 英文 字符 串 ， 即 正 
地 址 对 应 的 域名 。 已 知 域名 求 PP 地 址 的 过 程 称 为 正 向 解析 ， 已 知 人 P 地 址 求 域名 的 过 程 称 为 
反 向 解析 。 通 常情 况 下 ， 使 用 频率 较 高 的 是 正 向 解析 过 程 。 当 DNS 服务 器 出 现 故障 时 ， 用 
户 的 网 络 其 实 并 没有 中 断 ， 但 普通 用 户 会 感觉 很 多 网 站 都 打 不 开 ， 因 为 大 多 数 情况 下 用 户 是 
以 域名 的 方式 来 访问 目标 网 站 的 ，DNS 服务 器 的 故障 会 导致 目标 网 站 的 域名 不 能 解析 ， 因 而 
无 法 访问 ,如果 直 接 使 用 人 Tp 来 访问 目标 网 站 ， 则 基本 不 受 此 影响 。 因 此 ， 用 户 对 网 络 的 正常 
访问 ， 严 重 依赖 于 DNS 服务 器 的 正常 运转 。 

2009 年 5 月 份 国内 十 多 个 省 份 出 现 的 网 络 故障 ， 主 要 原因 就 是 著名 的 国产 流氓 软件 “ 暴 
风 影 音 ” 包 含 的 恶意 软件 发 出 大 量 非 正 常 DNS 解析 请 求 ， 导 致 部 分 电信 DNS 服务 器 瘫痪 ， 
从 而 导致 大 面积 用 户 域名 解析 异常 。 图 1-23 是 在 某 台 DNS 服务 器 上 捕获 到 的 网 络 数据 ， 图 
中 第 二 列 是 时 间 ， 以 秒 为 单位 。 由 图 可 见 ， 在 极 短 的 时 间 内 ， 暴 风 影 音 所 包含 的 恶意 软件 发 
出 了 大 量 目标 域名 为 “sandai.net”、“baofeng.com” 的 DNS 解析 (QUERY) 请 求 ， 正 常 的 数 
据 包 所 占 比例 很 少 。 这 个 例子 中 的 数据 是 在 一 个 仅 数 百 台 在 线 主机 的 网 络 中 捕获 到 的 ， 如 果 
网 络 规 模 更 大 ， 暴 风 影 音 所 产生 的 这 些 垃圾 网 络 通 信 数 据 的 危害 更 严重 。 

自 1990 年 起 ，HTTPGHypertext Transfer Protocol， 超 文本 传输 协议 ) 就 已 经 被 应 用 于 
WWW(World Wide Web, 万 维 网 )。 HTTP 目前 依然 是 mtemet 上 应 用 最 为 广泛 的 应 用 层 协议 ， 
它 是 一 种 请 求 /响应 式 的 协议 。 客 户 机 与 服务 器 建立 TCP 连接 后 ， 发 送 一 个 请 求 给 服务 器 ; 
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服务 器 接 到 请 求 后 ， 给 予 相 应 的 响应 信息 。HTTP 的 第 一 版 本 HTTP 0.9 是 一 种 简单 的 用 于 
网 络 间 原始 数据 传输 的 协议 ，HTTP 1.0 由 RFC(Request For Comments， 请 求 注解 ，Intermet 
标准 草案 )1945 定义 , 在原 HTTP 0.9 的 基础 上 , 进行 功能 扩充 。 后 续 版 本 HTTP 1.1(RFC 2616) 
的 要 求 更 加 严格 , 以 确保 服务 的 可 靠 性 ,增强 了 在 HITP 1.0 没有 充分 考虑 到 分 层 代 理 服 务 器 、 
高 速 缓冲 存储 器 、 持 和 久 连接 需求 或 虚拟 主机 等 方面 的 功能 。 安 全 增强 版 的 HITP( 即 S-HTTP 


或 HITPS)， 则 是 HITP 协议 与 SSL(Security Socket Layer， 安 全 套 接 字 层 ， 详 见 后 


纬 音节 


续 章 节 的 


介绍 ) 的 结合 ,使 HTTP 的 协议 数据 以 加 密 的 方式 传输 ， 避 免 明 文 协议 数据 出 现 ， 以 保障 传输 


数据 的 安全 。 
80 00.000825 DNS 
81 00.000484 DNS 
80 00.002462 DNS 
81 00.011065 DNS 
81 00.001563 DNS 
78 00. 010719 DNS 
76 00. 003569 DNS 
85 00.015859 : DNS 
80 00.000773 DNS 
85 00.001796 DNS 
85 00.000077 DNS 
80 00.000071 DNS 
80 00.000459 DNS 
80 00.001109 DNS 
81 00.001037 DNS 
81 00.000663 DNS 
81 00.023414 DNS 
图 1-23 “暴风 影音 ”所 含 
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QUERY NAME=hubSu,.sandai.net 
QUERY NAME=hubSpn.sandai.net 
QUERY NAME=hubSu.sandai.net 
QUERY NAME=hubSpn.sandai.net 
QUERY NAME=hubSpn.sandai.net 
QUERY En i 


QUERY NAME=Cduk grr go. WS 

QUERY NAME=videodowm.baofeng.com 
QUERY NAME=live.baofengy.com 
QUERY NAME=videodowm,.baofeng.com 
QUERY NAME=videodowm.baofeng.com 
QUERY NAME=live.baofeng.com 
QUERY NAME=hubSu.sandai.net 
QUERY NAME=hubSu.sandai.net 
QUERY NAME=hubSpn.sandai.net 
QUERY NAME=hubSpn.sandai.net 
QUERY NAME=hubSpn.sandai.net 


意 软件 产生 的 垃圾 网 络 通信 数据 


HTTP 协议 和 Web 站 点 、Web 页 面 、Web 浏览 器 、Web 服务 器 间 的 关系 如 图 1-24 所 示 。 


客户 机 


HTTP 报 文 


Web 服 务 器 


Web 页 面 


图 1-24 Web 页 面 和 HTTP 协议 的 关系 


Web 服务 器 是 运行 Web 服务 程序 的 计算 机 , 用 户 要 浏 ， 


览 Web 站 点 , 必须 


在 Web 浏览 


(如 Intemet Explorer、Firefox 等 ) 中 输入 运行 着 Web 服务 程序 的 计算 机 的 域名 或 他 地 址 。 浏 
览 过 程 中 ，Web 浏览 器 是 客户 端 程序 ， 向 Web 服务 程序 发 出 浏览 请 求 ，Web 服务 程序 根据 
请 求 内 容 将 存放 在 Web 服务 器 上 的 Web 页 面 封 装 成 HTTP 协议 报 文 的 格式 , 返回 给 Web 浏 


览 器 。 在 Web 服务 器 上 ， 
为 Web 站 点 。 


一 系列 Web 页 面 以 及 相关 的 图 片 、 视 频 等 其 他 媒体 的 集合 


， 即 称 


。22 。 计算 机 网 络 安全 教程 


一 次 典型 的 Web 页 面 浏览 过 程 所 产生 的 网 络 通信 如 图 1-25 所 示 。 由 图 可 知 ， 请 求 的 
Web 页 面 返回 给 客户 端 后 ， 客 户 端 和 服务 器 间 的 TCP 连接 即 被 释放 。 下 次 客户 端 再 和 服务 
器 联系 时 ， 服 务 器 无 法 判断 客户 端的 身份 ， 也 就 是 说 ， 服 务 器 不 能 区 分 曾经 访问 过 它 的 那些 
客户 端 ， 这 称 为 HITP 协议 的 无 状态 (Stateless) 特 性 。HTTP 协议 的 无 状态 特性 在 许多 需要 身 
份 验证 的 Web 站 点 中 显然 是 不 能 满足 要 求 的 , 不 可 能 要 用 户 每 访问 一 个 页 面 就 输入 一 次 用 户 
名 、 密 码 。 为 了 解决 这 个 问题 HTTP 协议 扩充 了 两 种 机 制 ， 以 保留 曾经 登录 过 的 用 户 身 份 。 
第 一 种 机 制 是 在 HITP 请 求 报 文 加 入 一 个 头 部 选项 “Connection: Keep-Alive”， 包 含 此 选择 
后 , 客户 端 和 服务 器 间 的 TCP 连接 在 页 面 返回 后 不 会 立即 释放 , 而 是 经 历 一 个 超时 (Time Out) 
值 后 才 释 放 ， 在 超时 时 间 范 围 之 内 ， 一 直 保持 TCP 连接 状态 。Keep-Alive 的 超时 时 间 受 客户 
端 、 服 务 端 双方 的 影响 ， 取 值 为 两 者 中 小 的 那个 ， 通 常 为 60 秒 。 另 一 种 普遍 使 用 的 机 制 是 
Cookie。Cookie 以 文件 的 形式 保存 在 客户 端 ， 每 次 客户 端 向 服务 器 发 送 请 求 时 ， 都 会 读 取 相 
应 Cookie 文件 ， 并 把 相关 信息 填写 到 HTTP 请 求 报 文 的 头 部 。 有 了 Cookie 机 制 ， 用 户 只 需 
登录 一 次 , 将 服务 器 返回 的 身份 信息 (通常 为 加 密 的 形式 ) 写 入 到 Cookie 文件 中 ， 后 续 对 Web 
服务 器 的 访问 时 , 此 身份 信息 都 被 附加 在 请 求 报 文中 , 服务 器 检查 后 即 可 验证 此 用 户 的 身份 。 

客户 机 Web 服 务 器 


图 1-25 ”Web 页 面 浏览 过 程 


在 浏览 Web 站 点 时 ， 访 问 同样 的 地 址 ， 若 每 次 返回 相同 的 Web 页 面 ， 则 此 页 面 称 为 静 
态 页 面 ， 若 根据 访问 的 时 间 、 参 数 不 同 ， 返 回 的 Web 页 面 也 不 同 ， 则 此 页 面 称 为 动态 页 面 。 
动态 页 面 每 次 返回 不 同 结果 ， 是 因为 有 程序 在 浏览 器 (客户 端 ) 或 服务 器 (服务 端 ) 上 运行 ， 该 程 
序 根据 用 户 请 求 的 时 间 、 参 数 ， 以 及 程序 的 流程 ， 将 不 同 的 结果 呈现 给 浏览 器 。 

FTP 是 Intermet 上 以 C/S(ClienyServer， 客 户 端 /服务 器 ) 方 式 处 理 文件 的 协议 。 客 户 端 可 
以 向 服务 器 上 传 文件 ， 也 可 以 从 服务 器 下 载 文件 ， 且 上 传 、 下 载 动作 都 支持 续 传 ， 即 传输 中 
断后 ， 下 次 传输 可 从 中 断 点 继续 进行 ， 以 避免 重复 传输 。 

应 用 FTP 进行 文件 传输 需要 用 到 两 个 TCP 连接 : 控制 连接 和 数据 连接 。 控 制 连接 用 于 
传递 控制 命令 、 操 作 状 态 信息 ， 当 客户 端 登录 到 FTP 服务 器 后 ， 控 制 连接 始终 存在 ， 客 户 端 
从 FTP 服务 器 登 出 时 才 释 放 控 制 连接 。 数 据 连接 用 于 传递 非 控 制 命令 的 数据 ， 比 如 列 目 录 操 
作 、 文 件 上 传 下 载 操作 ， 数 据 连接 仅 当 传递 数据 时 存在 。 例 如 ， 用 户 登录 到 FTP 服务 器 后 ， 
下 载 了 10 个 文件 ， 然 后 退出 登录 ， 则 此 过 程 中 ， 建立、 释放 一 个 控制 连接 ， 而 每 传输 一 个 文 
件 ， 都 会 建立 、 释 放 一 个 数据 连接 ， 总 共 建 立 、 释 放 10 个 数据 连接 。 由 前 文 所 述 ，TCP 连 
接 的 建立 、 释 放 ， 都 需要 一 定 的 开销 ， 故 当 有 大 量 小 文件 需要 传输 时 ，FTP 协议 针对 每 个 文 
件 都 进行 TCP 连接 的 建立 释放 操作 会 造成 大 量 开 销 ， 从 而 严重 影响 传输 效率 。 因 此 ， 当 传输 
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的 文件 数量 很 多 且 文件 尺寸 普遍 较 小 时 ， 应 该 将 众多 小 文件 打包 成 单个 大 文件 ， 再 通过 FTP 
传输 ， 这 样 能 带 来 传输 效率 的 显著 提升 。 

需要 注意 的 是 ，FTP 协议 在 工作 时 ， 控 制 连接 都 是 由 客户 端 向 服务 器 发 起 的 TCP 连接 ， 
但 数据 连接 的 方向 则 有 两 种 可 能 。 若 数据 连接 是 由 服务 器 向 客户 端 发 起 的 TCP 连接 ， 则 这 种 
工作 模式 称 为 主动 模式 (Active Mode)。 若 数据 连接 是 由 客户 端 向 服务 器 发 起 的 ， 则 这 种 工作 
模式 称 为 被 动 模式 (Passive Mode)。 可 见 “ 主 动 ”、“ 被 动 ” 都 是 以 服务 器 的 视角 来 观察 的 ， 
服务 器 主动 发 起 连接 则 为 主动 模式 ， 被 动 等 待 连接 则 为 被 动 模式 。 实 际 网 络 环境 中 ， 很 多 时 
候 客 户 端 处 于 内 网 ， 或 者 受 防火 墙 的 保护 ， 此 时 主动 模式 常常 无 法 工作 ， 因 为 服务 器 向 客户 
端 发 起 的 连接 到 达 内 网 边界 或 防火 墙 边界 时 会 被 阻 断 ， 连 接 无 法 建立 。 内 网 用 户 或 防火 墙 保 
护 下 的 用 户 向 外 发 起 TCP 连接 通常 不 会 被 阻止 , 因此 这 种 情况 下 可 以 使 用 被 动 模式 ， 由 客户 
端 向 服务 器 发 起 数据 连接 。FTP 主动 模式 、 被 动 模式 工作 原理 见 图 1-26， 其 中 x.x.x.x 表示 人 Pp 
地 址 。 由 图 可 知 ， 控 制 连接 服务 器 端的 端口 默认 均 为 21(TCP)。 主 动 模式 下 服务 器 端的 数据 
连接 端口 为 20, 而 被 动 模式 下 服务 器 端的 数据 连接 端口 不 确定 ,和 FTP 服务 程序 的 设置 有 关 。 


ep 


3 动 ” 站 于 

BD 

模式 数据 过 接 
RE 

被 控制 连接 

被 到 [| = 六 区 

Gi 

客户 端 数据 连接 


图 1-26 FTP 主动 模式 、 被 动 模式 工作 原理 


Intermet 中 电子 邮件 系统 的 工作 流程 、 原 理 ， 完 全 是 仿照 现实 生活 中 的 邮局 系统 而 来 的 。 
电子 邮件 的 发 送 过 程 ， 就 好 像 某 人 走 到 邮局 去 发 送 包 庄 ， 网 络 中 的 这 个 过 程 使 用 的 协议 称 为 
SMTP(Simple Mail Transfer Protocol， 简 单 邮件 传输 协议 )。SMTP 服务 器 端 使 用 的 是 TCP 25 
端口 。 邮 局 系统 发 出 的 包 庄 通过 若干 个 邮局 中 转 ， 最 后 到 达 收 件 人 所 在 的 邮局 ， 此 时 ， 收 件 
人 需要 到 邮局 去 取 回 包 囊 。 电 子 邮 件 系统 中 的 邮件 接收 过 程 也 与 此 一 致 ， 使 用 的 协议 称 为 
POP3(Post Office Protoco13， 邮 局 协议 版 本 3)。 POP3 协议 服务 端 使 用 的 默认 端口 是 TCP 110。 
早期 的 电子 邮件 系统 只 能 传输 文本 信息 ， 通 过 对 协议 进行 扩充 ， 任 意 格式 的 媒体 文件 都 可 编 
码 后 通过 电子 邮件 系统 传输 。 网 络 中 的 用 户 通过 电子 邮件 传输 文件 的 主要 好 处 在 于 ， 用 户 双 
方 无 须 同时 在 线 ， 并 且 每 个 人 可 以 拥有 自己 的 一 块 私 有 存储 区 域 。 


1.4 ”相关 的 基本 概念 


PDU(Protocol Data Unit, 协议 数据 单元 ) 是 各 协议 层 所 处 理 数据 的 基本 单位 ,协议 层次 不 
同 ，PDU 的 称谓 、 格 式 均 不 相同 。 物 理 层 的 PDU 是 二 进 制 位 Bit)， 链 路 层 的 PDU 是 帧 ， 网 
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络 层 的 PDU 是 他 数据 包 (Packet), 传输 层 的 PDU 是 报 文 段 (Segment), 应 用 层 的 PDU 是 报 文 
(Message)。 

根据 网 络 设备 所 能 识别 、 处 理 的 数据 所 处 的 协议 层次 , 不 同 的 网 络 设备 被 称 为 一 层 设备 、 
二 层 设备 、 三 层 设 备 、 四 层 设 备 或 七 层 设备 。 这 里 所 说 的 “ 某 层 ” 指 的 是 OSI 七 层 模型 中 的 
层次 。 对 这 些 设 备 的 称谓 常见 的 有 二 层 交 换 机 、 三 层 交 换 机 、 四 层 交 换 机 或 七 层 交 换 机 。 一 
层 设 备 只 能 处 理 物 理 层 的 数据 ， 即 将 所 有 线路 上 的 二 进 制 “1”、“0” 进 行 信号 放大 、 整 型 
后 输出 ， 典 型 的 一 层 设 备 是 中 继 器 (Repeater)。 二 层 设备 能 识别 链 路 层 数 据 一 一 帧 ， 并 根据 帧 
内 的 源 地 址 、 目 的 地 址 来 判断 对 数据 如 何 处 理 。 例 如 , 日常 使 用 的 以 太 网 交换 机 (Switch) 多 数 
都 是 二 层 交 换 机 ， 根 据 收 到 的 以 太 网 帧 内 的 MAC 地 址 ， 来 判断 将 帧 转发 到 哪些 端口 。 三 层 
设备 能 对 网 络 层 的 人 数据 包 进 行 分 析 , 根 据 中 数据 包 中 包含 的 目标 人 地址 进行 不 同 的 处 理 ， 
Intermet 上 的 路 由 器 是 典型 的 三 层 设备 ， 路 由 器 根据 下 数据 包 的 目标 地 址 进行 路 由 选择 ， 决 
定 卫 数据 包 应 该 走 哪 条 路 径 从 而 到 达 目 的 地 。 四 层 设备 在 能 解析 网 络 层 中 数据 包 的 基础 上 ， 
还 能 识别 传输 层 的 端口 号 。 七 层 设备 则 能 对 应 用 层 协议 进行 分 析 ， 根 据 分 析 结 果 对 数据 进行 
过 滤 、 加 工 等 处 理 。 
由 图 1-15 可 知 , 帧 的 有 效 载荷 数据 区 最 多 能 包含 1300 字 节 , 称 为 MIU(Maximum Transfer 
Unit， 最 大 传输 单元 )， 由 于 上 一 层 的 PDU 一 卫 数据 包 整 个 都 被 封装 在 链 路 层 帧 的 数据 区 ， 因 
而 单个 中 数据 包 的 最 大 长 度 即 为 1500 字 节 。 卫 数据 包 分 为 头 部 和 有 效 载 荷 数据 区 ， 头 部 长 
度 为 20 字 节 , 故 正 数据 包 的 数据 区 最 大 长 度 为 1300 一 20 三 1480 字 节 。 若 网 络 层 有 超出 1480 
字 节 的 数据 需要 发 送 ， 则 需要 将 数据 以 1480 为 单位 ， 分 为 多 个 卫 数据 包 发 送 ， 这 个 过 程 称 
为 卫 数 据 包 分 片 Cragmenting)， 分 割 后 的 多 个 片断 送 给 链 路 层 后 ， 再 封装 成 多 个 帧 。 需 要 强 
调 的 是 ， 数 据 发 送 过 程 中 正 数据 包 分 片 的 动作 在 网 络 层 进行 ， 但 到 达 目 的 地 后 ， 各 片断 的 合 
并 操作 是 在 传输 层 进 行 的 ， 网 络 层 不 保证 各 片断 按 分 片 前 的 次 序 到 达 目 的 地 。 


本 章 小 结 


本 章 主 要 介绍 了 计算 机 网 络 的 基础 知识 ， 包 括 : 计算 机 网 络 发 展 历程 ; 两 种 网 络 体系 结 
构 的 基本 概念 ; 从 TCP/IP 协议 体系 的 低层 的 链 路 层 到 高 层 的 应 用 层 , 介 绍 了 各 层 的 基本 功能 ， 
以 及 基本 运行 机 制 、 工 作 原理 ;最 后 介绍 了 计算 机 网 络 相关 的 几 个 基本 概念 。 


课 后 练习 


一 、 填空 题 
1.TCP/P 协议 模型 中 ， 物 理 层 定 义 物理 接口 的 机 械 、 电 气 等 特性 ，( ) 层 将 待 
传输 的 比特 流 划 分 成 帧 ，( ) 层 完成 中 数据 包 的 路 由 选择 。 


2. 在 网 络 中 ， 物 理 层 传输 的 数据 单位 称 为 比特 ， 数 据 链 路 层 传输 的 数据 单位 通常 称 为 
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( )， 网 络 层 传输 的 数据 单位 通常 称 为 ( js 

3. 用 于 测试 到 目标 主机 的 网 络 是 否 通畅 最 常用 的 命令 是 ( )。 

4. 一 个 TCP 连接 的 建立 ， 需 要 由 ( ) 次 “握手 ”来 完成 。 构 成 TCP 连接 的 一 对 
套 接 字 ， 由 IP 和 ( ) 组 成 。 

5. MAC 地 址 是 分 层 网 络 模 型 中 ( ) 层 的 地 址 ，MAC 地 址 通常 又 称 为 
( ) 地 址 或 硬件 地 址 。 


二 、 选择 题 


1. 当前 主要 使 用 的 TCP/IP 协议 中 ， 其 (v4) 协 议 子 网 掩 码 的 长 度 为 (。”)。 


A.4 B.16 C.32 D. 128 
2. 子 网 掩 码 中 ，1 和 0 分别 代表 下 地址 中 对 应 位 为 (。 )。 

A. 子 网 号 子 网 号 B. 子 网 号 主机 号 

C. 主机 号 子 网 号 D. 主机 号 主机 号 
3. 在 PP 地 址 的 分 类 中 ，(””) 下 地址 可 容纳 的 主机 数量 最 多 。 

A.A 类 B.B 类 C.C 类 D.D 类 
4. DoS 攻击 中 的 DoS 是 ( 。””) 的 缩写 。 

A. Disk Operation System B. Do it of Self 

C. DOS System D. Denial of Service 
5. TCP 协议 提供 的 服务 属于 (  ) 类 型 。 

A. 无 连接 B. 分 段 C. 面向 连接 D. 以 上 都 是 
三 、 简 答题 


1. 网 络 体系 结构 包含 哪 三 个 方面 的 内 容 ? 

2. 在 发 送 过 程 中 ， 数 据 在 各 层 协议 间 的 关系 如 何 ? 

3. 为 何 传统 以 太 网 的 数据 帧 的 最 大 长 度 为 1518 字 节 ? 

4. FTP 协议 中 的 两 个 连接 分 别 是 什么 ? FTP 文件 传输 的 两 种 模式 分 别 是 什么 ? 
5. 网 络 设备 中 ， 何 谓 二 层 设备 ? 


随 着 信息 化 的 浪潮 席卷 全 球 ， 当 今世 界 正经 历 着 以 计算 机 网 络 为 核心 的 信息 革命 ， 信 息 
网 络 逐 步 成 为 社会 的 神经 系统 ， 并 将 彻底 改变 人 类 传统 的 工作 、 生 活 方 式 。 

经 过 几 十 年 的 迅速 发 展 ， 计 算 机 网 络 不 再 局 限于 最 初 的 局 域 网 Local Area Network， 
LAN， 已 跨 过 城市 、 国 家 和 地 区 的 范围 ， 实 现 了 网 络 扩展 与 异 构 网 互联 ， 形 成 更 广泛 意义 上 
的 互联 网 络 ， 即 广域网 [Wide Area Network，WAN)。 这 种 趋势 使 得 计算 机 网 络 深 入 到 科研 、 
文化 、 教 育 、 经 济 与 国防 建设 的 各 个 领域 ， 推 动 了 整个 社会 的 信息 化 发 展 。 同 时 ， 这 种 发 展 
也 带 来 了 一 些 负面 影响 及 问题 : 网 络 的 开放 性 增加 了 网 络 安全 的 脆弱 性 和 复杂 性 ;信息 资源 
的 共享 和 分 布 处 理 增 大 了 网 络 受到 非法 攻击 的 可 能 性 ， 网 络 内 各 种 不 同类 型 的 计算 机 系统 存 
在 的 安全 漏洞 被 不 法 之 徒 利用 ， 借 以 入 侵 计算 机 ， 获 取 或 算 改 重要 数据 ， 人 为 或 自然 因素 造 
成 对 计算 机 网 络 信息 安全 的 威胁 。 这 一 系列 问题 ， 使 得 网 络 安全 成 为 计算 机 网 络 技术 人 员 长 
期 需要 面 对 和 解决 的 重大 问题 。 

本 章 重 点 

e 网 络 安全 概述 

e 网 络 面临 的 安全 威胁 

e 网 络 安全 需求 分 析 

e@ 网 络 安全 模型 

e 网络 安全 体系 结构 


2.1 网 络 安全 概述 


计算 机 网 络 安全 不 仅 包括 组 建 网 络 的 硬件 、 管 理 控制 网 络 的 网 管 软件 ， 也 包括 网 络 内 共 
享 的 资源 、 快 捷 的 网 络 服务 ， 所 以 定义 网 络 安全 应 考虑 涵盖 计算 机 网 络 所 涉及 的 所 有 内 容 。 
参照 国际 化 标准 组 织 GSO) 给 出 的 定义 ， 我 们 认为 计算 机 网 络 安全 是 指 : “保护 计算 机 网 络 系 
统 中 的 硬件 、 软 件 和 数据 资源 不 因 偶然 或 恶意 的 原因 遭 到 破坏 、 更 改 、 江 露 ， 使 网 络 系统 连 
续 可 靠 性 地 正常 运行 ， 网 络 服务 正常 有 序 。” 


2.1.1 网 络 安全 发 展 历程 
最 初 ， 因 特 网 Intemeb 尚 未 出 现 ， 计 算 机 网 络 未 成 型 ， 人 们 使 用 普通 邮件 或 电话 进行 交 
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流 ， 紧 急 情 况 下 可 以 发 送 电报 进行 通信 。 随 后 ， 网 络 和 Intemet 使 得 这 一 切 发 生 了 天 翻 地 履 
的 变化 。Intemet 起 源 于 1969 年 初 建立 的 ARPANET(Advanced Research Projects Agency 
Network): 一 个 非常 小 的 、 独 立 封闭 的 、 监 管 严格 的 网 络 。 它 是 美国 国防 部 高 级 研究 计划 管 
理 局 为 准 军事 目的 而 建立 的 ， 开 始 只 有 4 台 主 机 ， 这 就 是 只 有 4 个 节点 的 “网 络 之 父 ”。 到 
1972 年 公开 展示 时 ， 由 于 一 些 学 术 研究 和 政府 机 构 的 加 入 ，ARPANET 网 络 已 经 连接 了 50 
所 大 学 和 研究 机 构 的 主机 ; 到 1982 年 ， ARPANET 实现 了 与 其 他 多 种 异 构 网 络 的 互联 ， 从 而 
形成 了 以 它 为 主干 网 的 互联 网 。 

1983 年 ， 美国 国家 科学 基金 会 (National Science Foundation，NSF) 出 巨 资 ， 建 造 了 全 美 五 
大 超级 计算 机 中 心 。 为 了 使 全 国 的 科学 家 、 工 程 师 能 共享 超级 计算 机 的 资源 ， 又 建立 了 基于 
卫 协议 (nternet ProtocoD 的 计算 机 通信 网 络 NFSNET。1986 年 ，NFSNET 建成 后 取代 
ARPANET 成 为 互联 网 的 主干 网 。 发 展 到 1996 年 , 已 经 连接 了 世界 上 195 个 国家 ,遍布 每 个 
大 洲 (甚至 南极 洲 ) 的 1300 多 万 台 计 算 机 。 如 今 ， 它 已 经 成 为 世界 上 最 大 的 计算 机 互联 网 络 ， 
连接 了 全 球 不 计 其 数 的 网 络 与 计算 机 ， 同 时 也 是 世界 上 最 为 开放 的 网 络 系统 ， 允 许 世 界 上 数 
以 亿 计 的 人 们 进行 通信 和 信息 共享 。 

互联 网 在 赋予 用 户 丰 富 的 资源 共享 、 高 度 开放 性 和 跨 地 区 跨 时 间 的 自由 性 的 同时 ， 也 使 
得 随 之 暴露 出 来 的 网 络 安全 问题 日 趋 严 重 。 病 毒 与 病毒 防治 ， 入 侵 和 安全 防范 的 较量 ， 此 消 
彼 长 ， 正 所 谓 “ 魔 高 一 尺 ， 道 高 一 克 ”， 注 定 了 这 将 是 一 场 长 期 艰巨 的 战争 。 作 为 计算 机 专 
业 人 士 ， 特 别 是 有 志 于 网 络 安全 方面 的 研究 人 员 ， 知 己 知 彼 方 能 百 战 百胜 ， 意 思 就 是 熟悉 敌 
人 才能 有 针对 性 地 提高 自己 ， 更 加 有 把 握 战胜 敌人 。 网 络 安全 的 工作 实际 上 就 是 发 现 、 了 解 
问题 ， 并 根据 具体 情况 作出 适当 的 反应 ， 研 究 出 解决 问题 的 技术 和 手段 并 加 以 应 用 ， 做 好 安 
全 防范 措施 以 杜绝 类 似 安全 问题 的 再 次 发 生 。 从 某 种 意义 上 来 说 ， 网 络 安全 的 发 展 历史 ， 就 
是 一 部 与 破坏 性 病毒 和 网 络 非法 入 侵 的 斗争 史 。 下 面 ， 通 过 回顾 历史 上 一 些 比较 有 影响 力 的 
网 络 安全 事件 ， 以 更 好 地 了 解 信 息 网 络 系统 的 安全 发 展 历程 。 

1. 网 络 安全 历史 事件 


回溯 到 20 世纪 80 年 代 。1987 年 ， 病 毒 “ 维 也 纳 (Vienna)” 问 世 ， 拉 尔 夫 ，。 伯 格 (Ralph 
Buerger) 将 其 分 解 并 发 表 在 他 的 著作 《计算 机 病毒 :一 种 高 科技 疾病 》(Computer Virues:a 
High-tech Disease)。 这 本 书 前 述 了 如 何 编写 和 实现 繁衍 成 百 上 千 的 计算 机 病毒 的 概念 ， 使 得 
编写 计算 机 病毒 成 为 一 种 时 尚 。1988 年 11 月 2 日 , 美国 航天 局 艾 姆 斯 研究 中 心 NASA Ames 
Research CentenD 的 彼得 。 伊 Peter Yee) 在 互联 网 邮件 列表 里 发 布 信息 : “我 们 正在 遭受 因特网 
病毒 的 攻击 ! ”这 个 报告 成 为 了 后 来 为 人 熟知 的 英里 斯 蠕虫 病毒 (Morris Worm) 发 作 的 第 一 份 
历史 记载 。 罗 伯 茨 (Roberts)， 一 名 23 岁 康 奈 尔 大 学 (Comell University) 的 在 校 学 生 编写 了 此 代 
码 作为 研究 课题 的 一 部 分 ， 旨 在 检测 因特网 的 大 小 。 由 于 代码 里 的 一 个 瑕 站 ， 导 致 该 程序 利 
用 UNIX 的 弱点 并 快速 传播 ， 感 染 了 成 倍增 长 的 计算 机 最 终 导致 它们 瘫痪 。1989 年 10 月 ， 
手 泽 蠕 虫 (Worms Against Nuclear Killers，WANK worm)， 一 个 自动 攻击 VMS 系统 的 蠕虫 病 
毒 出 现 ， 和 肇事 者 至 今 未 明 ， 成 为 有 记载 的 史上 第 一 次 网 络 犯罪 悬案 。 
20 世纪 90 年 代 ， 各 种 病毒 变种 和 入 侵 手 段 进一步 升级 。1990 年 ， 一 种 多 态 性 的 病毒 ; 
“ 特 奎 拉 ”(Tequila) 病 毒 出 现 ， 该 病毒 能 对 自身 特征 进行 修改 ， 从 而 避免 反 病毒 程序 的 检测 ， 
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1994 年 4 月 11 日 该 病毒 全 面 爆发 。1994 年 9 月 ， 同 样 的 事件 爆发 ， 不 过 主角 换 成 了 阿 米 巴 
病毒 (Amoeba)。1994 年 ， 俄 罗斯 黑客 弗 拉 德 。 莱 文 (Vladimir Levin) 侵 入 了 花旗 银行 (Citibank) 
的 现金 管理 系统 ， 将 1 亿 元 纳入 自己 的 账户 。1996 年 ，Boza 病毒 出 现 并 感染 了 号 称 百 毒 不 
侵 的 Windows 95 操作 系统 。1998 年 ， 第 一 个 Java 病毒 Strange Brew 问世 。 

进入 21 世纪 ，2005 年 ， 病 毒 Bropia 蠕虫 感染 了 因特网 ， 锁 定 MSN Messenger 作为 传播 
源 。2007 年 ， 一 种 名 为 风暴 蠕虫 (Storm Worm) 的 病毒 席卷 了 成 千 上 万 的 电子 邮箱 ， 这 种 特 洛 
伊 木 马 变种 病毒 携带 一 个 可 执行 文件 作为 附件 发 给 用 户 ， 一 旦 打开 附件 ， 计 算 机 便 在 不 知情 
下 变 成 僵尸 网 络 的 一 员 ， 传 播 病 毒 和 恶意 广告 。 

在 众多 的 网 络 安全 事件 中 ， 一 部 分 通过 网 络 安全 部 门 的 调查 取证 ， 己 经 找 出 了 秘 事 者 并 
处 以 相应 的 处 罚 ， 有 一 些 网 络 犯罪 疑案 至 今 悬而未决 ， 各 大 网 络 安全 部 门 和 公司 对 此 也 一 筹 
莫 展 。PCMAG 选 出 了 史上 十 大 最 悬疑 的 计算 机 网 络 犯罪 案件 ， 其 中 就 包括 前 面 提 到 的 
WANK 蠕虫。 

(1) 1989 年 10 月 ，WANK 蠕虫 入 侵 NASA。 

某 个 家 伙 为 了 抗议 剑 驱动 的 伽利略 探测 器 的 发 射 而 入 侵 了 美国 宇航 局 NASA 系统 , 造成 
了 50 万 美元 的 损失 。 当 年 受 WANK 病毒 攻击 后 的 计算 机 屏幕 如 图 2-1 所 示 。 
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图 2-1 WANK 病毒 界面 


(2) 1999 年 2 月 ， 美 国 国 防 部 卫星 被 黑客 入 侵 。 

(3) 2000 年 1 月 ， 信 用 卡 信息 失 伪 。 

(4) 2000 年 12 月 ， 军 用 源 代码 泄露 。 

(5) 2001 年 10 月 ， 微 软 数字 版 权 保 护 被 破解 。 

(6) 2003 年 10 月 ， 总 统 竞选 主页 被 黑 。 

(7) 2006 年 3 月 ，MBA 录取 系统 被 破解 。 

(8) 2007 年 冬 ， 两 万 网 站 被 黑 。 

(9) 2008 年 2 月 ， 超 市 客户 信用 卡 被 盗 。 

(10) 2008 年 5 月 ，Comecast 被 黑 。 

一 个 名 叫 Kryogeniks 的 黑客 组 织 黑 掉 了 comcastnet 的 域名 注册 商 Network 
Solutions(NTSL 是 美国 一 个 大 型 域名 服务 商 , 包括 微软 和 IBM 在 内 很 多 大 公司 域名 均 由 其 管 
理 ) 并 算 改 了 域名 DNS 记录 ， 被 黑 的 Comcast 网 页 如 图 2-2 所 示 。 
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图 2-2” Comcast 被 黑 的 网 页 


诸如 此 类 的 网 络 犯罪 案件 ， 已 经 屡见不鲜 ， 并 且 有 愈演愈烈 之 势 ， 因 此 而 带 来 的 日 渐 升 
级 的 网 络 安全 问题 也 愈 发 显 出 它 的 重要 性 和 急迫 性 。 网 络 安 全 的 发 展 ， 就 是 如 何 与 这 些 不 断 
涌现 并 升级 的 病毒 、 新 的 攻击 手段 和 技术 以 及 非法 入 侵 者 进行 斗智 斗 勇 的 过 程 。 

2. 网 络 安全 发 展 阶段 


纵 观 网 络 信息 安全 的 历史 ， 其 发 展 过 程 经 历 了 三 个 阶段 。 

(1) 通信 安全 阶段 

在 早期 ， 通 信 技 术 还 不 发 达 ， 电 脑 只 是 零散 地 位 于 不 同 的 地 点 ， 信 息 系统 的 安全 一 方面 
局 限于 保证 电脑 的 物理 安全 以 及 通过 密码 (主要 是 序列 密码 ) 解 决 通信 安全 保密 问题 。 把 电脑 
安置 在 相对 安全 的 地 点 ， 不 容许 生 人 接近 ， 就 可 以 保证 数据 的 安全 性 。 但 是 ， 信 息 是 必须 要 
交流 的 。 如 果 这 台电 脑 的 数据 需要 让 别人 读 取 ， 而 需要 数据 的 人 在 异地 ， 怎 么 办 ? 只 有 将 数 
据 复制 在 介质 上 ， 派 专人 秘密 送 到 目的 地 ， 复 制 进 电脑 再 读 取出 数据 。 即 使 是 这 样 ， 也 不 是 
完美 无 缺 了 ， 谁 来 保证 信息 传递 员 的 安全 ? 因此 这 个 阶段 人 们 强调 的 信息 系统 安全 性 更 多 的 
是 信息 的 保密 性 ， 对 安全 理论 和 技术 的 研究 也 仅 限于 密码 学 ， 这 一 阶段 的 信息 安全 可 以 简单 
地 称 为 通信 安全 ， 它 侧重 于 保证 数据 在 从 一 地 传送 到 另外 一 地 时 的 安全 。 

(2) 信息 安全 阶段 

进入 20 世纪 60 年 代 后 ,半导体 和 集成 电路 技术 的 飞速 发 展 推动 了 计算 机 软 硬 件 的 发 展 ， 
计算 机 和 网 络 技术 的 应 用 进入 了 实用 化 和 规模 化 阶段 ， 数 据 的 传输 已 经 可 以 通过 电脑 网 络 来 
完成 。 这 时 候 的 信息 已 经 分 成 了 静态 信息 和 动态 信息 。 人 们 对 安全 的 关注 已 经 逐渐 扩展 为 以 
保密 性 、 完 整 性 和 可 用 性 为 目标 的 信息 安全 阶段 , 主要 保证 动态 信息 在 传输 过 程 中 不 被 窃取 ， 
即使 窍 取 了 也 不 能 正确 读 出 信息 ， 还 要 保证 数据 在 传输 过 程 中 不 被 算 改 ， 让 读 取信 息 的 人 能 
够 看 到 正确 无 误 的 信息 。 
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1977 年 美国 国家 标准 局 QNBS) 公 布 的 国家 数据 加 密 标准 DES) 和 1983 年 美国 国防 部 公布 
的 《可 信 计 算 机 系统 评价 准则 》(TCSEC，Trusted Computer System Evaluation Criteria，1985 
年 再 版 ) 标 志 着 解决 计算 机 信息 系统 保密 性 问题 的 研究 和 应 用 迈 上 了 历史 的 新 台阶 , 后 者 就 是 
著名 的 橘 皮 书 。 这 一 时 期 ， 国 际 上 把 相应 的 信息 安全 工作 称 为 数据 保护 。 

G) 信息 保障 阶段 

到 了 20 世纪 90 年 代 开 始 ， 由 于 互联 网 技术 的 飞速 发 展 ， 信 息 无 论 是 对 内 还 是 对 外 都 得 
到 极 大 开放 ， 由 此 产生 的 信息 安全 问题 跨越 了 时 间 和 空间 ， 信 息 安全 的 焦点 已 经 不 仅仅 是 传 
统 的 保密 性 、 完 整 性 和 可 用 性 三 个 原则 ， 由 此 衍生 出 了 诸如 可 控 性 、 抗 抵赖 性 、 真 实 性 等 其 
他 的 原则 和 目标 , 信息 安全 也 转化 为 从 整体 角度 考虑 其 体系 建设 的 信息 保障 阶段 。 换 句 话说， 
仅仅 保证 动态 信息 是 不 够 的 ， 因 为 静态 信息 已 经 被 连接 到 了 互联 网 上 ， 这 个 阶段 的 任务 是 防 
止 互联 网 上 的 不 良 者 破坏 静态 信息 或 非法 获取 静态 信息 。 
2.1.2 网络 安全 的 含义 、 要 素 

网 络 安全 涉及 的 领域 相当 广泛 ， 这 是 因为 目前 的 计算 机 网 络 中 存在 各 种 各 样 的 安全 漏洞 
和 威胁 。 从 广义 角度 来 说 ， 凡 是 涉及 网 络 信息 的 保密 性 、 完 整 性 、 可 用 性 、 真 实 性 和 可 控 性 
的 相关 技术 和 理论 ， 都 是 网 络 安全 所 要 研究 的 范畴 。 

总 结 来 自 各 个 方面 对 网 络 安全 的 阐述 ， 我 们 认为 它 大 致 应 该 具备 以 下 几 个 要 素 。 

1. 可 靠 性 


指 网 络 信息 能 够 在 规定 条 件 下 和 指定 时 间 内 实现 规定 功能 的 特性 。 可 靠 性 是 网 络 安全 的 
最 基本 要 求 之 一 ， 是 所 有 网 络 信息 系统 建设 和 运行 的 目标 。 
2. 保密 性 


指 信息 不 泄露 给 非 授权 用 户 、 实 体 或 供 其 利用 。 通 俗 一 点 说 ， 就 是 防止 信息 泄露 给 非 授 
权 的 个 人 或 实体 ， 信 息 只 提供 给 授权 用 户 使 用 。 

3. 完整 性 

指数 据 未 经 授权 不 能 进行 修改 ， 即 数据 在 传输 和 存储 过 程 中 应 该 保持 不 被 删除 、 修 改 、 
伪造 、 乱 序 、 重 放 、 插 入 、 破 坏 和 丢失 。 完 整 性 是 信息 的 安全 性 ， 它 要 求 保持 信息 的 原样 ， 
即 信息 的 正确 生成 、 存 储 和 传输 。 


4. 可 用 性 

指 可 以 被 授权 实体 访问 并 按 需 求 使 用 ， 即 当 合法 授权 的 群体 需要 时 应 该 能 够 存 取 所 需 的 
信息 。 可 用 性 应 该 满足 身份 识别 与 确认 、 访 问 控制 、 业 务 流 控制 、 路 由 选择 控制 、 审 计 跟踪 

5. 可 控 性 


指 对 信息 的 传播 和 内 容 具 备 控制 能 力 。 保 障 系统 根据 授权 提供 服务 ， 使 系统 在 任何 时 候 
都 不 被 非 授权 用 户 使 用 。 即 对 黑客 入 侵 、 口 令 攻 击 、 用 户 权 限 非 法 提升 、 资 源 非法 使 用 等 采 
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取 有 效 防范 措施 。 

6. 不 可 抵赖 性 

也 称 作 不 可 否认 性 。 在 网 络 信息 的 交互 过 程 中 ， 确 认 参与 者 的 真实 统一 性 ， 即 所 有 参与 
者 都 不 能 和 否认 或 抵赖 曾经 进行 过 的 操作 和 承诺 。 利 用 源 信息 证 据 防止 发 信息 一 方 否认 已 发 送 
信息 ， 同 时 利用 接收 的 信息 证 据 防 止 事后 接收 方 否认 已 经 接收 信息 。 


2.2 ”网 络 面临 的 安全 威胁 


计算 机 网 络 的 发 展 , 使 信息 的 共享 应 用 日 益 广泛 与 深入 。 但 是 信息 在 网 络 上 传输 、 存 储 、 
共享 ， 会 被 非法 穷 听 、 截 取 、 自 改 或 损坏 ， 因 此 导致 不 可 估量 的 损失 。 尤 其 是 银行 系统 、 商 
业 系统 、 管 理 部 门 、 政 府 或 军事 部 门 对 网 络 上 传输 和 存储 信息 的 安全 问题 更 为 敏感 。 

对 网 络 信息 构成 不 安全 的 因素 很 多 ， 其 中 包括 人 为 的 因素 、 自 然 的 和 偶然 发 生 的 因素 。 
人 为 的 安全 威胁 来 自 于 一 些 不 法 之 徒 利用 计算 机 网 络 存在 的 漏洞 ， 或 者 潜入 机 房 或 者 终端 设 
备 所 在 场所 ， 通 过 技术 手段 盗 穷 系统 资源 、 非 法 获取 重要 数据 、 自 改 系统 信息 、 破 坏人 硬件 设 
备 、 编 写 计算 机 病毒 程序 并 发 布 传播 等 。 显 然 ， 人 为 因素 是 对 计算 机 信息 网 络 安全 最 大 的 
威胁 。 


2.2.1 非 人 为 安全 威胁 


非 人 为 因素 造成 对 计算 机 网 络 安全 的 威胁 大 致 有 : 计算 机 物理 安全 、 操 作 系统 的 安全 漏 
洞 、 各 种 自然 灾害 对 计算 机 构成 的 威胁 以 及 一 些 偶发 性 的 因素 如 电源 故障 、 设 备 机 能 失常 等 
对 计算 机 网 络 构成 的 严重 威胁 。 随 着 计算 机 网 络 硬件 设备 的 不 断 改进 升级 ， 安 全 防范 措施 的 
不 断 完善 ， 非 人 为 因素 对 网 络 造成 的 威胁 已 经 被 控制 在 可 接受 的 范围 内 。 


2.2.2 ”人 为 安全 威胁 


人 为 因素 对 计算 机 网 络 造成 的 威胁 ， 主 要 体现 在 非 授权 访问 网 络 信息 资源 ， 信 息 泄 露 ， 
数据 自 改 和 删除 ， 拒 绝 服务 ， 破 坏 网 络 硬件 设备 ， 计 算 机 病毒 的 发 布 传播 等 ， 这 些 可 以 归纳 
为 主观 意义 上 的 安全 威胁 。 此 外 还 有 一 些 非 主观 意识 上 的 网 络 安全 威胁 ， 也 是 由 于 人 为 因素 
造成 的 ， 来 自 于 网 络 管理 制度 的 不 健全 、 安 全 管理 水 平 的 低劣 、 误 操作 、 渎 职 行为 等 ， 都 会 
对 计算 机 网 络 信息 造成 一 定 的 威胁 。 

在 第 3 和 第 4 章 ， 我们 将 着 重 探 讨 计算 机 物理 安全 与 操作 系统 的 安全 问题 。 关 于 人 为 因 
素 造成 的 威胁 方面 的 安全 防范 问题 ， 我 们 将 在 后 续 章 节 里 详细 讨论 ， 在 此 不 做 详 述 。 


2.3 ”网 络 安全 需求 分 析 


根据 实际 需要 的 不 同 ， 网 络 安全 在 不 同 的 环境 和 应 用 中 有 不 同 的 需求 。 


。32 。 计算 机 网 络 安全 教程 


2.3.1 网 络 物理 安全 需求 


要 保证 计算 机 网 络 系统 的 安全 、 可 靠 ， 必 须 保 证 系统 实体 有 个 安全 的 物理 环境 条 件 。 这 
个 安全 的 环境 是 指 机 房 及 其 设施 ， 主 要 包括 以 下 内 容 。 

(1) 计算 机 系统 的 安全 环境 条 件 ， 包 括 温 度 、 湿 度 、 空 气 洁净 度 、 腐 蚀 度 、 虫 害 、 振 动 
和 冲击 、 电 气 干扰 等 方面 ， 都 要 有 具体 的 要 求 和 严格 的 标准 。 

(2) 计算 机 系统 选择 一 个 合适 的 安装 场所 十 分 重要 ， 它 直接 影响 到 系统 的 安全 性 和 可 靠 
性 。 选 择 计算 机 房 场地 ， 要 注意 其 外 部 环境 安全 性 、 地 质 可 靠 性 、 场 地 抗 电磁 干扰 性 ， 避 开 
强 振动 源 和 强 噪声 源 ， 并 避免 设 在 建筑 物 高 层 和 用 水 设备 的 下 层 或 隔壁 。 

(3) 机 房 的 安全 防护 是 针对 环境 的 物理 灾害 和 防止 未 授权 的 个 人 或 团体 破坏 、 自 改 或 次 
穷 网 络 设施 、 重 要 数据 而 采取 的 安全 措施 和 对 策 。 


2.3.2 网络 系统 安全 需求 


操作 系统 是 作为 一 个 支撑 软件 ， 使 得 程序 或 别 的 应 用 系统 在 上 面 正常 运行 的 一 个 环境 。 
操作 系统 提供 了 很 多 的 管理 功能 ， 主 要 是 管理 系统 的 软件 资源 和 硬件 资源 。 操 作 系统 软件 自 
身 的 不 安全 性 ， 系 统 开发 设计 的 不 周 而 留 下 的 破绽 ， 都 给 网 络 安全 留 下 隐患 。 

1. 系统 结构 的 缺陷 


操作 系统 本 身 有 内 存 管理 、CPU 管理 、 外 设 的 管理 ， 每 个 管理 都 涉及 一 些 模块 或 程序 ， 
如 果 在 这 些 程序 里 面 存在 问题 ， 比 如 内 存 管理 的 问题 ， 外 部 网 络 的 一 个 连接 ， 刚 好 连接 到 一 
个 有 缺陷 的 模块 ， 可 能 出 现 的 情况 是 ， 计 算 机 系统 因此 而 月 省 。 

系统 支持 在 网 络 上 传送 文件 、 加 载 或 安装 程序 ， 包 括 可 执行 文件 ， 这 些 功 能 也 会 带 来 不 
安全 因素 。 网 络 很 重要 的 一 个 功能 就 是 文件 传输 功能 ， 如 FIP， 这 些 安 装 程序 经 常会 带 一 些 
可 执行 文件 ， 这 些 可 执行 文件 都 是 人 为 编写 的 程序 ， 如 果 某 个 地 方 出 现 漏洞 ， 那 么 可 能 就 会 
造成 系统 崩溃 。 像 这 些 远 程 调 用 、 文 件 传输 ， 如 果 生 产 厂家 或 个 人 在 上 面 安装 间 恋 程序 ， 那 
么 用 户 的 整个 传输 过 程 、 使 用 过 程 都 会 被 别人 监视 到 ， 所 有 的 这 些 传输 文件 、 加 载 的 程序 、 
安装 的 程序 、 执 行文 件 ， 都 可 能 给 操作 系统 带 来 安全 的 隐患 。 

2. 进程 的 安全 


系统 不 安全 的 一 个 原因 在 于 它 可 以 创建 进程 ， 支 持 进 程 的 远程 创建 和 激活 ， 支 持 被 创建 
的 进程 继承 创建 的 权利 ， 这 些 机 制 提供 了 在 远 端 服务 器 上 安装 “间谍 软件 ”的 条 件 。 

守护 进程 是 系统 的 一 些 进程 ， 总 是 在 等 待 某 些 事件 的 出 现 。 所 谓 守护 进程 ， 比 如 说 用 户 
有 没有 按键 盘 或 鼠标 ， 或 者 别 的 一 些 处 理 。 一 些 监控 病毒 的 监控 软件 也 是 守护 进程 ， 这 些 进 
程 可 能 是 好 的 ， 比 如 防 病毒 程序 ， 一 有 病毒 出 现 就 会 捕捉 到 。 如 果 操 作 系统 中 有 些 守护 进程 
被 人 破坏 掉 就 会 出 现 不 安全 的 情况 。 

3. 远程 调用 

系统 会 提供 一 些 远 程 调用 功能 ， 所 谓 远 程 调用 就 是 一 台 计 算 机 可 以 调用 远程 计算 机 或 大 
型 服务 器 里 面 的 一 些 程序 ， 可 以 提交 程序 给 远程 的 服务 嚣 执行， 如 telnet。 远 程 调用 要 经 过 很 
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多 环节 ， 中 间 的 通信 环节 可 能 会 出 现 被 人 监控 等 问题 。 
4. 系统 后 门 和 漏洞 


后 门 程序 是 指 那些 绕 过 安全 控制 而 获取 对 程序 或 系统 访问 权 的 程序 方法 。 在 软件 开发 阶 
段 ， 程 序 员 利 用 软件 的 后 门 程序 得 以 便利 地 修改 程序 设计 中 的 不 足 。 一 旦 后 门 被 黑客 利用 ， 
或 在 发 布 软件 前 没有 删除 后 门 程序 ， 容 易 被 黑客 当成 漏洞 进行 攻击 ， 造 成 信息 泄密 和 丢失 。 

尽管 系统 的 漏洞 可 以 通过 版 本 的 不 断 升级 来 克服 ,但 是 系统 的 某 一 个 安全 漏洞 就 会 使 得 
系统 的 所 有 安全 控制 毫 无 价值 。 从 发 现 问题 到 升级 这 段 时 间 ， 一 个 小 小 的 漏洞 就 足以 使 整个 
网 络 瘫痪 掉 。 


2.3.3 ”网 络 应 用 安全 需求 


网 络 安全 在 不 同 的 环境 和 应 用 中 ， 有 不 同 的 需求 。 

从 用 户 ( 个 人 、 企 业 等 ) 的 角度 来 说 ， 他 们 希望 涉及 个 人 隐私 或 商业 利益 的 信息 在 网 络 上 
传输 时 受到 机 密 性 、 完 整 性 和 真实 性 的 保护 ， 避 免 他 人 或 竞争 对 手 用 侈 听 、 假 冒 、 自 改 等 手 
段 对 用 户 的 合法 权益 和 隐私 造成 侵犯 。 

从 网 络 运营 和 管理 者 的 角度 来 说 ， 他 们 希望 对 网 络 信息 的 访问 、 读 写 等 操作 受到 保护 和 
控制 ， 避 免 出 现 病 毒 传播 、 非 法 存 取 、 拒 绝 服务 和 网 络 资源 非法 占用 和 控制 等 问题 ， 并 且 具 
备 一 定 的 制止 和 防御 网 络 黑客 攻击 的 能 力 。 

对 于 安全 保密 部 门 来 说 ， 他 们 希望 对 非法 的 、 有 害 的 或 涉及 国家 机 密 的 信息 进行 过 滤 和 
屏蔽 ， 避 免 这 些 信息 通过 网 络 泄露 ， 防 止 由 于 这 类 信息 的 泄露 对 社会 造成 的 危害 ， 对 国家 造 
成 的 损失 ， 甚 至 对 国家 安全 造成 威胁 。 

从 社会 教育 和 意识 形态 的 角度 来 说 ， 网 络 上 不 健康 的 内 容 会 对 社会 的 安定 团结 和 青少年 
的 健康 成 长 带 来 负面 的 影响 ， 必 须 加 以 监督 和 控制 。 


2.3.4 网络 数据 安全 需求 


网 络 数据 安全 突出 表现 在 数据 的 保密 性 、 完 整 性 和 可 用 性 方面 。 

具体 到 以 数据 库 为 例 ， 数 据 库 管理 系统 的 大 量 信息 存储 在 各 种 各 样 的 数据 库 里 面 ， 包 括 
我 们 上 网 看 到 的 所 有 信息 ， 数 据 库 主 要 考虑 的 是 方便 存储 、 利 用 和 管理 信息 ， 但 在 安全 方面 
考虑 得 比较 少 。 例 如 : 授权 用 户 超出 了 访问 权限 进行 数据 的 更 改 活动 ， 非 法 用 户 绕 过 安全 内 
核 ， 窃 取信 息 。 对 于 数据 库 的 安全 而 言 ， 就 是 要 保证 数据 的 安全 可 靠 和 正确 有 效 ， 即 确保 数 
据 的 安全 性 、 完 整 性 。 数 据 的 安全 性 是 防止 数据 库 被 破坏 和 非法 的 存 取 ， 数 据 库 的 完整 性 是 
防止 数据 库 中 存在 不 符合 语义 的 数据 。 可 用 性 体现 在 合法 授权 用 户 需要 访问 的 数据 信息 ， 应 
该 保证 任何 时 候 都 可 以 被 访问 和 存 取 。 
2.3.5 网络 安全 管理 

计算 机 网 络 的 安全 管理 ， 不 仅 要 看 所 采用 的 安全 技术 和 防范 措施 ， 而 且 要 看 它 所 采取 的 


管理 措施 和 执行 计算 机 安全 保护 法 律 、 法 规 的 力度 。 只 有 将 两 者 紧密 结合 ， 才 能 使 计算 机 网 
络 安全 确实 有 效 。 


“34. 计算 机 网 络 安全 教程 


计算 机 网 络 的 安全 管理 ， 包 括 对 计算 机 用 户 的 安全 教育 、 建 立 相应 的 安全 管理 机 构 、 不 
断 完善 和 加 强 计算 机 的 管理 功能 、 加 强 计算 机 及 网 络 的 立法 和 执法 力度 等 方面 。 加 强 计算 机 
安全 管理 ， 加 强 用 户 的 法 律 、 法 规 和 道德 观念 ， 提 高 计算 机 用 户 的 安全 意识 ， 对 防止 计算 机 
犯罪 、 抵 制 黑客 攻击 和 防止 计算 机 病毒 干扰 ， 是 十 分 重要 的 措施 。 


2.4 ”网 络 安全 模型 和 体系 结构 


2.4.1 安全 模型 


网 络 安全 模型 是 动态 网 络 安全 过 程 的 抽象 描述 。 通 过 对 安全 模型 的 研究 ， 了 解 安全 动态 
过 程 的 构成 因素 , 是 构建 合理 并 实用 的 安全 策略 体系 的 前 提 之 一 。 为 了 达到 安全 防范 的 目的 ， 
需要 建立 合理 的 网 络 安全 模型 ， 以 指导 网 络 安全 工作 的 部 署 和 管理 。 目 前 ， 在 网 络 安全 领域 
存在 较 多 的 网 络 安 全 模型 ， 在 此 介绍 两 种 常见 的 模型 ，PDRR 模型 和 PPDR 模型 。 

1. PDRR 安全 模型 


PDRR 即 美国 国防 部 提出 的 常见 的 “信息 安全 保障 体系 ”， 它 概括 了 网 络 安全 的 整个 环 
节 ， 包 括 防护 (Protection)、 检 测 (Detection)、 响 应 (Response)、 恢 复 (Recovery)。PDRR 模型 的 
名 称 也 由 这 4 个 环节 的 英文 单词 首 字 母 组 合 而 来 ， 这 4 个 部 分 构成 了 一 个 动态 的 信息 安全 周 
期 ， 如 图 2-3 所 示 。 


】 防护 @) ”一 


[| | [| | iy 
恢复 R) (一 | 安全 策略 一) ”检测 D) 


| 响应 (R) 愉 = 


图 2-3 ”PDRR 安全 模型 


PDRR 安全 模式 提出 了 人 、 政 策 ( 包 括 法律 、 法 规 、 制 度 、 管 理 ) 和 技术 三 大 要 素 ; 归纳 
了 网 络 安全 的 主要 内 涵 ， 即 鉴别 、 保 密 、 完 整 性 、 可 用 性 、 不 可 抵赖 性 、 责 任 可 核查 性 和 可 
恢复 性 ; 提出 了 信息 安全 的 儿 个 重点 领域 , 即 关键 基础 设施 的 网 络 安全 (包括 电信 、 油气 管 网 、 
交通 、 供 水 、 金 融 等 )、 内 容 的 信息 安全 (包括 反 病 毒 、 电 子 信箱 安全 和 有 害 内 容 过 滤 等 ) 和 电 
子 商 务 的 信息 安全 ， 认 为 密码 理论 和 技术 是 核心 ， 安 全 协议 是 桥梁 ， 安 全 体系 结构 是 基础 ， 
安全 的 芯片 是 关键 ， 监 控 管 理 是 保障 ， 攻 击 和 评测 的 理论 和 实践 是 考验 。 
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1) 防护 

防护 是 PDRR 模型 的 最 重要 部 分 。 防 护 是 预先 阻止 攻击 可 能 发 生 的 条 件 产生 ， 让 攻击 者 
无 法 顺利 入 侵 。 防 护 可 以 抵御 大 多 数 的 入 侵 事 件 ， 它 包括 缺陷 扫描 、 访 问 控制 、 防 火 墙 、 数 
据 加 密 及 鉴别 等 。 

(1) 缺陷 扫描 

安全 缺陷 分 为 两 种 : 允许 远程 攻击 的 缺陷 和 只 允许 本 地 攻击 的 缺陷 。 允 许 远程 攻击 的 缺 
陷 就 是 攻击 者 可 以 利用 该 缺陷 ， 通 过 网 络 攻击 系统 。 只 允许 本 地 攻击 的 缺陷 就 是 攻击 者 不 能 
通过 网 络 利用 该 缺陷 攻击 系统 。 对 于 人 允许 远程 攻击 的 安全 缺陷 ， 可 以 用 网 络 缺 陷 扫描 工具 去 
发 现 。 网 络 缺 陷 扫 描 工 具 一 般 从 系统 的 外 边 去 观察 。 其 次 ， 它 扮演 一 个 黑客 的 角色 ， 只 不 过 
它 不 会 破坏 系统 。 缺 陷 扫描 工具 首先 扫描 系统 所 开放 的 网 络 服务 端口 ， 然 后 通过 该 端口 进行 
连接 ， 试 探 提 供 服务 的 软件 类 型 和 版 本 号 。 在 这 个 时 候 ， 缺 陷 扫 描 工具 有 两 种 方法 去 判断 该 
端口 是 否 有 缺陷 ;第 一 种 方法 是 根据 版 本 号 ， 在 缺陷 列表 中 查 出 是 否 存在 缺陷 。 第 二 种 方法 
是 根据 已 知 的 缺陷 特征 ， 模 拟 一 次 攻击 。 如 果 攻 击 表 示 可 能 会 成 功 ， 就 停止 并 认为 是 缺陷 存 
在 (要 停止 攻击 模拟 避免 对 系统 损害 )。 显 然 第 二 种 方法 的 准确 性 比 第 一 种 要 好 ， 但 是 它 扫 描 
的 速度 会 很 慢 。 

(2) 访问 控制 与 防火 墙 

访问 控制 限制 某 些 用 户 对 某 些 资 源 的 操作 。 访 问 控制 通过 减少 用 户 对 资源 的 访问 ， 从 而 
减少 资源 被 攻击 的 概率 ， 达 到 防护 系统 的 目的 。 例 如 只 让 可 信 的 用 户 访问 资源 而 不 让 其 他 用 
户 访问 资源 ， 这 样 资源 受到 攻击 的 概率 几乎 很 小 。 防 火 墙 是 基于 网 络 的 访问 控制 技术 ， 在 
Internet/Intranet 中 的 广泛 应 用 已 经 成 为 不 争 的 事实 。 防 火 墙 技术 可 以 工作 在 网 络 层 、 传 输 层 
和 应 用 层 ， 完 成 不 同 粒度 的 访问 控制 。 防 火 墙 可 以 阻止 大 多 数 的 攻击 但 不 是 全 部 ， 很 多 入 侵 
事件 通过 防火 墙 所 允许 的 规则 进行 攻击 ， 例 如 通过 80 端口 进行 攻击 。 

(3) 病毒 防治 

病毒 就 是 计算 机 的 一 段 可 执行 代码 ， 这 些 病毒 感染 到 计算 机 上 的 过 程 完全 是 被 动 的 。 计 
算 机 病毒 的 传统 感染 过 程 并 不 是 利用 系统 上 的 缺陷 。 只 要 用 户 直接 跟 这 些 病毒 接触 ， 例 如 复 
制 文件 、 访 问 网 站 、 接 受 E-mail 等 ， 该 用 户 的 系统 就 会 被 感染 。 一 旦 计算 机 被 感染 上 病毒 ， 
这 些 可 执行 代码 可 以 自动 执行 ， 破 坏 计算 机 系统 。 安 装 并 经 常 更 新 防 病毒 软件 会 对 系统 安全 
起 防护 作用 。 防 病毒 软件 根据 病毒 的 特征 ， 检 查 用 户 系统 上 是 否 有 病毒 。 这 个 检查 过 程 可 以 
是 定期 检查 ， 也 可 以 是 实时 检查 。 

(4) 数据 加 密 

加 密 技术 保护 数据 在 存储 和 传输 中 的 保密 性 安全 。 所 谓 加 密 ， 就 是 数据 经 过 一 种 特殊 处 
理 使 其 看 起 来 毫 无 意义 ， 同 时 仍 保持 可 以 对 其 恢复 成 原始 数据 的 途径 。 这 个 特殊 处 理 的 过 程 
称 为 加 密 。 加 密 之 前 的 原始 数据 被 称 为 明文 。 加 密 之 后 的 数据 被 称 为 密 文 ， 从 密 文 恢复 到 明 
文 的 过 程 叫 解密 。 

一 般 来 说 , 加 密 和 解密 的 算法 通常 都 是 公开 的 。 唯 一 使 得 数据 得 到 保护 的 因素 就 是 密 钥 。 
密 钥 其 实 是 一 个 数值 ， 加 密 算法 使 用 这 个 数值 对 明文 进行 编码 。 解 密 算法 就 是 用 与 之 对 应 的 
密 钥 进行 解码 。 
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加 密 有 两 种 : 对 称 加 密 技 术 和 公开 密 钥 加 密 技术 。 在 对 称 加 密 技术 中 ， 加 密 和 解密 过 程 
使 用 同一 密 钥 。 数 据 加 密 标准 (Data Encryption Standard，DES) 就 是 对 称 加 密 方法 的 一 个 实例 。 
在 公开 密 钥 加 密 技术 中 ， 加 密 和 解密 过 程 使 用 一 对 非 对 称 的 密 钥 : 公开 密 钥 和 私有 密 钥 。 公 
开 密 钥 可 以 让 所 有 人 知道 ， 私 有 密 钥 则 要 保密 。 从 公 钥 推导 出 密 钥 需 要 超大 的 计算 量 ， 实 际 
上 是 不 可 行 的 。 

(5) 鉴别 技术 

鉴别 技术 和 数据 加 密 技术 有 很 紧密 的 关系 。 鉴 别 技术 用 在 安全 通信 中 ， 对 通信 双方 互相 
鉴别 对 方 的 身份 以 及 传输 的 数据 。 鉴 别 技术 保护 数据 通信 的 两 个 方面 : 通信 双方 的 身份 认证 
和 传输 数据 的 完整 性 。 鉴 别 技术 主要 使 用 公开 密 钥 加 密 算法 的 鉴别 过 程 ， 即 如 果 个 人 用 自己 
的 私有 密 钥 对 数据 加 密 为 密 文 ， 那 么 任何 人 都 可 以 用 相应 的 公开 密 钥 对 密 文 解密 ， 但 不 能 创 
建 这 样 的 密 文 ， 因 为 没有 相应 的 私有 密 钥 。 

数字 签名 是 在 电子 文件 上 签名 的 技术 ， 确 保 电子 文件 的 完整 性 。 数 字 签名 首先 使 用 消息 
摘要 函数 计算 文件 内 容 的 摘要 ， 再 用 签名 者 的 私有 密 钥 对 摘要 加 密 。 

身份 认证 需要 每 个 实体 (用 户 ) 登 记 一 个 数字 证 书 。 这 个 数字 证 书包 含 该 实体 的 信息 (如 用 
户 名 、 公 开 密 钥 )。 另 外 ， 这 个 证 书 应 该 有 一 个 权威 的 第 三 方 签名 ， 保 证 该 证 书 上 的 内 容 是 有 
效 的 。 

2) 检测 

PDRR 模型 的 第 二 个 环节 就 是 检测 (D)。 上 面 提 到 防护 系统 除 掉 入 侵 事 件 发 生 的 条 件 ， 可 
以 阻止 大 多 数 的 入 侵 事 件 的 发 生 ， 但 是 它 不 能 阻止 所 有 的 入 侵 。 特 别 是 那些 利用 新 的 系统 缺 
陷 、 新 的 攻击 手段 的 入 侵 。 因 此 安全 策略 的 第 二 个 安全 屏障 就 是 检测 ， 即 如 果 入 侵 发 生 就 检 
测 出 来 ， 这 个 工具 是 入 侵 检测 系统 (Intrusion Detection System，IDS)。 通常 采用 入 侵 检 测 系 统 
GDS) 来 检测 系统 漏洞 和 缺陷 ， 增 加 系统 的 安全 性 能 ， 从 而 消除 攻击 和 入 侵 的 条 件 。 

检测 并 不 是 根据 网 络 和 系统 的 缺陷 ， 而 是 根据 入 侵 事 件 的 特征 去 检测 的 。 但 是 ， 黑 客 攻 
击 系统 的 时 候 往往 是 利用 网 络 和 系统 的 缺陷 进行 的 ， 所 以 入 侵 事 件 的 特征 一 般 与 系统 缺陷 的 
特征 有 关系 。 因 此 防护 和 检测 技术 是 有 相关 的 理论 背景 的 。 

入 侵 检测 系统 QDS) 是 一 个 硬件 系统 和 软件 程序 , 它 的 功能 是 检测 出 正在 发 生 或 已 经 发 生 
的 入 侵 事件 。 这 些 入 侵 已 经 成 功 地 穿 过 防护 战线 。 一 个 入 侵 检测 系统 有 很 多 特征 ， 其 主要 特 
征 为 : 检测 环境 和 检测 算法 。 根 据 不 同 的 特征 ， 入 侵 检测 系统 可 以 分 为 不 同 的 类 型 。 

根据 检测 环境 不 同 ，IDS 一 般 可 以 分 为 基于 主机 的 IDS(Host-based) 和 基于 网 络 的 
IDSGNetwork-based)。 基 于 主机 的 IDS 检测 基于 主机 上 的 系统 日 志 、 审 计数 据 等 信息 , 而 基于 
网 络 的 IDS 检测 则 一 般 侧重 于 网 络 流量 分 析 。 

根据 检测 所 使 用 的 方法 ，IDS 还 可 以 分 为 两 种 : 误 用 检测 (Misuse Detection) 和 异常 检测 
(Anomaly Detection)。 误 用 检测 技术 需要 建立 一 个 入 侵 规则 库 ， 其 中 ， 它 对 每 一 种 入 侵 都 形成 
一 个 规则 描述 ， 只 要 发 生 的 事件 符合 于 某 个 规则 就 被 认为 是 入 侵 。 

入 侵 检测 系统 一 般 和 紧急 响应 及 系统 恢复 有 密切 关系 。 一 旦 入 侵 检测 系统 检测 到 入 侵 事 
件 ， 它 就 会 将 入 侵 事 件 的 信息 传 给 应 急 响 应 系统 进行 处 理 。 
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3) 响应 

PDRR 模型 中 的 第 三 个 环节 就 是 响应 R)。 响 应 就 是 已 知 一 个 攻击 (入 侵 ) 事 件 发 生 之 后 进 
行 处 理 。 在 一 个 大 规模 的 网 络 中 ， 响 应 这 个 工作 都 由 一 个 特殊 部 门 负责 ， 那 就 是 计算 机 响应 
小 组 ,世界 上 第 一 个 计算 机 响应 小 组 CERT, 位 于 美国 CMU 大 学 的 软件 研究 所 (SED, 于 1989 
年 建立 ， 是 世界 上 最 著名 的 计算 机 响应 小 组 。 从 CERT 建立 之 后 ， 世 界 各 国 以 及 各 机 构 也 纷 
纷 建立 自己 的 计算 机 响应 小 组 。 我 国 第 一 个 计算 机 紧急 响应 小 组 CCERT， 于 1999 年 建立 ， 
主要 服务 于 中 国教 育 和 科研 网 。 

入 侵 事件 的 报警 可 以 是 入 侵 检 测 系 统 的 报警 ， 也 可 以 是 通过 其 他 方式 的 汇报 。 响 应 的 主 
要 工作 也 可 以 分 为 两 种 : 第 一 种 是 紧急 响应 ; 第 二 种 是 其 他 事件 处 理 。 紧 急 响 应 就 是 当 安 全 
事件 发 生 时 采取 应 对 措施 ， 其 他 事件 主要 包括 咨询 、 培 训 和 技术 支持 。 

4) 恢复 

恢复 是 PDRR 模型 中 的 最 后 一 个 环节 。 恢 复 是 事件 发 生 后， 把 系统 恢复 到 原来 的 状态 ， 
或 者 比 原来 更 安全 的 状态 。 恢 复 也 可 以 分 为 两 个 方面 : 系统 恢复 和 信息 恢复 。 系 统 恢复 指 的 
是 修补 该 事件 所 利用 的 系统 缺陷 ， 不 让 黑客 再 次 利用 这 样 的 缺陷 入 侵 。 一 般 系 统 恢复 包括 系 
统 升级 、 软 件 升 级 和 打 补 丁 等 。 系 统 恢复 的 另 一 个 重要 工作 是 除去 后 门 。 一 般 来 说 ， 黑 客 在 
第 一 次 入 侵 的 时 候 都 是 利用 系统 的 缺陷 。 在 第 一 次 入 侵 成 功 之 后 ， 黑 客 就 在 系统 打开 一 些 后 
门 ， 如 安装 一 个 特洛伊 木马 。 

所 以 ， 尽 管 系统 缺陷 已 经 打 补 丁 ， 黑 客 下 一 次 还 可 以 通过 后 门 进入 系统 。 系 统 恢复 都 是 
根据 检测 和 响应 环节 提供 有 关 事 件 的 资料 进行 的 。 信 息 恢 复 指 的 是 恢复 丢失 的 数据 。 数 据 丢 
失 可 能 是 由 于 黑客 入 侵 造 成 的 ， 也 可 以 是 由 于 系统 故障 、 自 然 灾 害 等 原因 造成 的 。 信 息 恢复 
就 是 从 备份 和 归档 的 数据 恢复 原来 数据 。 信 息 恢 复 过 程 跟 数据 备份 过 程 有 很 大 的 关系 。 数 据 
备份 做 得 是 否 充 分 对 信息 恢复 有 很 大 的 影响 。 信 息 恢 复 过 程 的 一 个 特点 是 有 优先 级 别 。 直 接 
影响 日 常生 活 和 工作 的 信息 必须 先 恢复 ， 这 样 可 以 提高 信息 恢复 的 效率 。 

在 上 述 的 安全 的 4 个 环节 基础 上 ，PDRR 模型 引进 了 时 间 的 概念 。 

(1) 保护 时 间 (PD 

表示 从 入 侵 开始 到 成 功 侵入 系统 的 时 间 ， 即 攻击 所 需 时 间 。 高 水 平 的 入 侵 及 安全 薄弱 的 
系统 都 能 导致 攻击 的 有 效 性 ， 使 保护 时 间 Pt 缩短 。 

C) 检测 时 间 (DD 

系统 安全 检测 包括 发 现 系统 的 安全 隐患 和 潜在 攻击 检测 。 改 进 检测 算法 和 设计 可 缩短 
Dt， 适 当 的 防护 措施 可 有 效 缩短 Dt。 

(3) 响应 时 间 (RD 

包括 检测 到 系统 漏洞 或 监控 到 非法 攻击 到 系统 启动 处 理 措施 的 时 间 。 例 如 一 个 监控 系统 
的 响应 可 能 包括 监视 、 切 换 、 跟 踪 、 报 警 、 反 攻 等 内 容 。 而 安全 事件 的 后 处 理 ( 如 恢复 、 事 后 
总 结 等 ) 不 纳入 事件 响应 的 范畴 之 内 。 

PDRR 模型 用 数学 公式 的 方法 简明 地 解析 了 安全 的 概念 ， 系统 的 保护 时 间 应 大 于 系统 检 
测 到 入 侵 行为 的 时 间 加 上 系统 响应 时 间 , 即 Pt >DHRt。 也 就 是 在 入 侵 者 危害 安全 目标 之 前 就 
能 够 被 检测 到 并 被 及 时 处 理 。 巩 固 的 防护 系统 与 快速 的 反应 结合 起 来 ， 就 是 真正 的 安全 。 例 
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如 , 防盗 门 只 能 延长 被 攻破 的 时 间 。 如果 警 卫 人 员 能 够 在 防盗 系统 被 攻破 之 前 作出 迅速 反应 ， 
那么 这 个 系统 就 是 安全 的 。 这 实际 上 给 出 了 安全 的 一 个 全 新 的 定义 : 及 时 的 检测 和 响应 就 是 
安全 。 根 据 这 样 一 种 安全 理论 体系 ， 我 们 就 知道 构筑 网 络 安全 的 宗旨 就 是 提高 系统 的 防护 时 
间 ， 降 低 检 测 时 间 和 响应 时 间 。 

(4) 系统 暴露 时 间 (ED 

指 系 统 处 于 不 安全 状况 的 时 间 ， 等 于 检测 到 入 侵 者 破坏 安全 目标 开始 ， 将 系统 恢复 到 正 
常 状 态 的 时 间 。 系 统 的 暴露 时 间 越 长 ， 系 统 就 越 不 安全 。 例 如 ， 对 Web 服务 器 被 破坏 的 页 面 
进行 恢复 。 

PDRR 阐述 了 这 样 一 种 理念 : 安全 的 目标 实际 上 就 是 尽 可 能 地 增 大 保护 时 间 ， 尽 量 减 少 
检测 时 间 和 响应 时 间 ， 在 系统 遭 到 破坏 后 ， 尽 快 恢复 正常 工作 ， 以 减少 系统 暴露 时 间 。 

当然 ，PDRR 模型 表现 为 网 络 安全 最 终 的 存在 形态 ， 是 一 类 目标 体系 和 模型 ， 它 并 不 关 
注 网 络 安全 建设 的 工程 过 程 ， 并 没有 曾 述 实现 目标 体系 的 途径 和 方法 。 此 外 ， 模 型 更 侧重 于 
技术 ， 对 诸如 管理 这 样 的 因素 并 没有 强调 。 网 络 安全 体系 应 该 是 融合 了 技术 和 管理 在 内 的 一 
个 可 以 全 面 解 决 安全 问题 的 体系 结构 ， 它 应 该 具有 动态 性 、 过 程 性 、 全 面 性 、 层 次 性 和 平衡 
性 等 特点 ， 是 一 个 可 以 在 信息 安全 实践 活动 中 真正 依据 的 建设 蓝图 。 

2. PPDR 安全 模型 


PPDR(Policy Protection Detection Response) 模 型 是 美国 ISS(Intermet Security Systems) 公 司 
提出 的 动态 网 络 安全 体系 的 代表 模型 ， 也 是 动态 安全 模型 的 雏形 。PPDR 模型 包括 四 个 主要 
部 分 : 安全 策略 (Policy)、 防 护 (Protection)、 检 测 (Detection) 和 响应 (Response)， 如 图 2-4 所 示 。 


防护 (P) 


i 


响应 (R) 检测 (D) 


图 2-4 PPDR 安全 模型 


PPDR 的 基本 思想 是 :以 安全 策略 为 核心 ， 通 过 一 致 性 检查 、 流 量 统 计 、 异 常 分 析 、 模 
式 匹配 以 及 基于 应 用 、 目 标 、 主 机 、 网 络 的 入 侵 检 查 等 方法 进行 安全 漏洞 检测 。 检 测 使 系统 
从 静态 防护 转化 为 动态 防护 ， 为 系统 快速 响应 提供 了 依据 。 当 发 现 系 统 有 异常 时 ， 根 据 系统 
安全 策略 快速 做 出 反应 ， 从 而 达到 保护 系统 安全 的 目的 。 
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(1) 安全 策略 

PPDR 安全 模型 的 核心 是 安全 策略 。 所 有 的 防护 、 检 测 、 响 应 都 是 安全 策略 实施 的 。 安 
全 策略 为 安全 管理 提供 管理 方向 和 支持 手段 。 策 略 体系 的 建立 包括 安全 策略 的 制定 、 评 估 、 
执行 等 。 策 略 是 这 个 模型 的 核心 ， 意 味 着 网 络 安全 要 达到 的 目标 ， 它 决定 各 种 措施 的 强度 。 

CO) 防护 

防护 就 是 采用 一 切 手段 保护 信息 系统 的 保密 性 、 完 整 性 、 可 用 性 、 可 控 性 和 不 可 抵赖 性 。 
防护 应 该 依据 不 同等 级 的 系统 安全 要 求 来 完善 系统 的 安全 功能 和 安全 机 制 。 防 护 通常 采用 身 
份 认证 、 防 火 墙 、 客 户 端 软件 、 加 密 等 传统 的 安全 技术 来 实现 。 

防护 是 安全 的 第 一 步 ， 包 括 : 制定 安全 规章 (以 安全 策略 为 基础 制定 安全 细则 )， 配 置 系 
统 安全 (配置 操作 系统 、 安 装 补丁 等 )， 采 用 安全 措施 (安装 使 用 防火 墙 、VPN 等 )。 

(3) 检测 

检测 是 对 上 述 二 者 的 补充 , 通过 检测 发 现 系统 或 网 络 的 异常 情况 , 发 现 可 能 的 攻击 行为 。 
检测 是 PPDR 模型 中 非常 重要 的 环节 ， 是 进行 动态 响应 和 动态 保护 的 依据 ， 同 时 强制 网 络 按 
照 安全 策略 ， 检 测 设备 不 间断 地 检测 、 监 控 网 络 和 系统 ， 及 时 发 现 网 络 中 的 威胁 和 存在 的 弱 
点 ， 通 过 循环 的 反馈 及 时 做 出 响应 。 网 络 的 安全 风险 是 无 时 不 在 的 。 检 测 的 对 象 主要 针对 系 
统 自 身 的 脆弱 性 和 外 部 威胁 。 

(4) 响应 

响应 是 指 在 系统 检测 到 安全 漏洞 后 做 出 的 处 理 方法 , 它 在 PPDR 安全 模型 中 占 重要 地 位 ， 
是 解决 潜在 的 安全 问题 最 有 效 的 方法 。 

响应 是 在 发 现 异常 或 攻击 行为 后 系统 自动 采取 的 行动 ， 目 前 的 入 侵 响应 方式 也 比较 单 
一 ， 主 要 就 是 关闭 端口 、 中 断 连 接 、 中 断 服务 等 方式 。 研 究 多 种 入 侵 响 应 方式 将 是 今后 的 发 
展 方 向 之 一 。 

PPDR 模型 是 在 整体 的 安全 策略 的 控制 和 指导 下 , 在 综合 运用 防护 工具 (如 防火 墙 、 操 作 
系统 身份 认证 、 加 密 等 ) 的 同时 ， 利 用 检测 工具 (如 漏洞 评估 、 入 侵 检 测 等 ) 了 解 和 评估 系统 的 
安全 状态 ， 通 过 适当 的 反应 将 系统 调整 到 “最 安全 ”和 “风险 最 低 ” 的 状态 。 防 护 、 检 测 和 
响应 组 成 了 一 个 完整 的 、 动 态 的 安全 循环 ， 在 安全 策略 的 指导 下 保证 信息 系统 的 安全 。 

该 理论 的 最 基本 原理 认为 信息 安全 相关 的 所 有 活动 ， 不 管 是 攻击 行为 、 防 护 行为 、 检 测 
行为 还 是 响应 行为 等 都 要 消耗 时 间 。 因 此 可 以 用 时 间 来 衡量 一 个 体系 的 安全 性 和 安全 能 力 。 

作为 一 个 防护 体系 ， 当 入 侵 者 要 发 起 攻击 时 ， 每 一 步 都 需要 花费 时 间 。 当 然 攻击 成 功 花 
费 的 时 间 就 是 安全 体系 提供 的 防护 时 间 (Pb; 在 入 侵 发 生 的 同时 ， 检 测 系统 也 在 发 挥 作 用 , 检 
测 到 入 侵 行为 也 要 花费 时 间 ， 即 检测 时 间 (DD; 在 检测 到 入 侵 后 ， 系 统 会 做 出 应 有 的 响应 动 
作 ， 这 也 要 花费 时 间 ， 即 响应 时 间 (@R0。 
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PPDR 模型 可 以 用 一 些 典型 的 数学 公式 来 表达 安全 的 要 求 : 

公式 1: Pt> Dt+ Rt。 

Pt 代表 系统 为 了 保护 安全 目标 设置 各 种 保护 后 的 防护 时 间 ; 或 者 理解 为 在 这 样 的 保护 方 
式 下 ， 黑 客 ( 入 侵 者 ) 攻 击 安全 目标 所 花费 的 时 间 。Dt 代表 从 入 侵 者 开始 发 动 入 侵 开 始 ， 系 统 
能 够 检测 到 入 侵 行为 所 花费 的 时 间 。Rt 代表 从 发 现 入 侵 行为 开始 , 系统 能 够 做 出 足够 的 响应 ， 
将 系统 调整 到 正常 状态 的 时 间 。 那 么 ， 针 对 需要 保护 的 安全 目标 ， 如 果 上 述 数 学 公式 满足 防 
护 时 间 大 于 检测 时 间 加 上 响应 时 间 ， 也 就 是 在 入 侵 者 危害 安全 目标 之 前 就 能 被 检测 到 并 及 时 
处 理 。 

公式 2: Et=Dt+Rt， 如 果 Pt=0。 

公式 的 前 提 是 假设 防护 时 间 为 0。Dt 代表 从 入 侵 者 破坏 了 安全 目标 系统 开始 ， 系 统 能 
检测 到 破坏 行为 所 花费 的 时 间 。Rt 代表 从 发 现 遭 到 破坏 开始 ， 系 统 能 够 做 出 足够 的 响应 ， 将 
系统 调整 到 正常 状态 的 时 间 。 比 如 ， 对 Web Server 被 破坏 的 页 面 进 行 恢复 。 那 么 ，Dt 与 Rt 
的 和 就 是 该 安全 目标 系统 的 暴露 时 间 Et。 针 对 需要 保护 的 安全 目标 ，Et 越 小 系统 就 越 安全 。 

通过 对 上 面 两 个 公式 的 描述 ， 实 际 上 给 安全 下 了 一 个 全 新 的 定义 : “及 时 的 检测 和 响应 
就 是 安全 ”、“ 及 时 的 检测 和 恢复 就 是 安全 ”。 

而 且 ， 这 样 的 定义 为 安全 问题 的 解决 给 出 了 明确 的 方向 : 提高 系统 的 防护 时 间 (PD， 降 
低 检测 时 间 (DD 和 响应 时 间 (Rb。 

PPDR 模型 也 存在 一 个 明显 的 弱点 ， 就 是 忽略 了 内 在 的 变化 因素 ， 如 和 人员 的 流动 、 人 员 
的 素质 和 策略 贯彻 的 不 稳定 性 。 实 际 上 ， 安 全 问题 牵涉 面 广 ， 除 了 涉及 防护 、 检 测 和 响应 ， 
系统 本 身 安 全 的 “免疫 力 ” 的 增强 、 系 统 和 整个 网 络 的 优化 ， 以 及 人 员 这 个 在 系统 中 最 重要 
角色 的 素质 的 提升 ， 都 是 该 安全 系统 没有 考虑 到 的 问题 。 

2.4.2 ”安全 体系 结构 


所 谓 安全 体系 结构 ， 指 的 是 一 个 计划 和 一 套 原 则 ， 它 应 该 描述 : 

e 为 满足 用 户 需求 而 必须 提供 的 一 套 安全 服务 ; 

e ”要求 所 有 系统 元 素 都 要 实现 的 服务 ; 

e 为 应 付 威胁 环境 而 要 求 系统 元 素 达 到 的 安全 级 别 。 

一 个 安全 体系 结构 是 采用 系统 工程 过 程 的 结果 ， 一 个 完整 的 安全 体系 结构 包括 管理 安 
全 、 通 信安 全 、 计 算 机 安全 、 辐 射 安全 、 人 员 安 全 和 物理 安全 等 。 它 既 要 应 付 恶 意 威胁 ， 也 
要 应 付 意外 的 威胁 。 与 OSI 参考 模型 对 应 的 网 络 信息 安全 体系 结构 三 维 模型 如 图 2-5 所 示 。 
其 中 处 轴 表示 安全 机 制 ， 了 轴 表 示 OSI 人 参考 模型 ，Z 轴 表 示 安 全 服务 。 
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OSI 参 考 模型 
应 用 层 


表示 层 


安全 机 制 

认证 

访问 控制 

数据 完整 性 

数据 机 密 性 

抗 抵赖 
安全 服务 

图 2-5 OSI 网 络 安全 体系 结构 三 维 模型 


与 安全 体系 结构 相关 的 概念 还 有 安全 机 制 、 安 全 模型 、 安 全 服务 和 安全 策略 等 。 

(1) 安全 机 制 : 安全 机 制 是 一 个 过 程 (或 与 该 过 程 绑 定 的 一 种 设备 )。 它 能 用 于 一 个 系统 ， 
使 该 系统 能 够 实现 对 外 或 对 内 提供 的 安全 服务 。 安 全 机 制 的 实例 有 鉴别 交换 、 校 验 和 数字 签 
名 、 加 密 、 传 输 填充 等 。 

(2) 安全 模型 ， 它 描述 了 一 个 系统 对 外 或 对 内 提供 的 一 套 规定 的 安全 服务 。 

(3) 安全 策略 : 安全 策略 指 一 套 规则 和 惯例 ， 它 详细 说 明了 系统 或 者 组 织 如 何 提供 安全 
服务 去 保护 敏感 的 关键 系统 资源 。 例 如 : 基于 身份 的 安全 策略 、 基 于 规则 的 安全 策略 等 。 

(4) 安全 服务 : 指 系统 提供 的 一 种 处 理 服务 或 通信 服务 。 它 能 够 为 系统 资源 提供 特定 的 
保护 ， 如 访问 控制 服务 、 审 计 服 务 、 有 效 性 服务 、 数 据 加 密 性 服务 、 数 据 完整 性 服务 、 数 据 
源 认 证 服务 、 不 可 抵赖 性 服务 、 对 等 实体 认证 服务 、 系 统 完整 性 服务 等 。 安 全 服务 实现 了 安 
全 策略 ， 并 且 由 安全 机 制 实现 。 

信息 安全 保障 体系 的 建设 策略 是 要 建立 信息 安全 防护 能 力 ， 要 具有 隐患 发 现 能 力 、 网 络 
反应 能 力 、 信 息 对 抗 能 力 。 在 建立 我 国 的 信息 安全 保障 体系 时 ， 有 人 主张 在 PDRR 的 前 面 加 
上 预警 ， 在 后 面 加 上 反击 。 

预警 的 基本 宗旨 就 是 根据 以 前 掌握 的 系统 脆弱 性 ， 了 解 当 前 的 犯罪 趋势 ， 预 测 未 来 可 能 
受到 的 攻击 和 危害 。 作 为 预警 ， 首 先 要 分 析 威 胁 来 源 与 方式 ， 分 析 系 统 的 脆弱 性 ， 评 估 资 产 
与 风险 ， 考 虑 使 用 什么 强度 的 保护 可 以 消除 、 避 免 、 转 嫁 风 险 ， 剩 下 的 风险 能 否 承 受 。 

反击 就 是 利用 高 技术 工具 ， 提 供 犯罪 分 子 犯罪 的 线索 、 依 据 ， 依 法 侦查 犯罪 分 子 ， 处 理 
犯罪 案件 ， 要 求 形 成 取证 能 力 和 打击 手段 ， 依 法 打击 犯罪 和 网 络 恐怖 主义 分 子 。 

计算 机 网 络 安全 技术 主要 有 实时 扫描 技术 、 实 时 监测 技术 、 防 火 墙 技术 、 完 整 性 检验 保 
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护 技 术 、 病 毒 情 况 分 析 报 告 技 术 和 系统 安全 管理 技术 。 综 合 起 来 ， 可 以 采取 以 下 方式 。 
1. 建立 安全 管理 制度 


提高 包括 系统 管理 员 和 用 户 在 内 的 人 员 的 技术 素质 和 职业 道德 修养 。 对 重要 部 门 和 信 
息 ， 严 格 做 好 开机 查 毒 ， 及 时 备份 数据 ， 这 是 一 种 简单 有 效 的 方法 。 


2. 网 络 访问 控制 

访问 控制 是 网 络 安全 防范 和 保护 的 主要 策略 。 它 的 主要 任务 是 保证 网 络 资源 不 被 非法 使 
用 和 访问 ， 它 是 保证 网 络 安全 最 重要 的 核心 策略 之 一 。 

3. 数据 库 的 备份 与 恢复 


数据 库 的 备份 与 恢复 是 数据 库 管 理 员 维护 数据 安全 性 和 完整 性 的 重要 操作 。 备 份 是 恢复 
数据 库 最 容易 和 最 能 防止 意外 的 保证 方法 。 恢 复 是 在 意外 发 生 后 利用 备份 来 恢复 数据 的 操作 。 
有 三 种 主要 备份 策略 : 只 备份 数据 库 、 备 份 数据 库 和 事务 日 志 、 增 量 备份 。 


4. 应 用 密码 技术 

应 用 密码 技术 是 信息 安全 核心 技术 ， 密 码 手 段 为 信息 安全 提供 了 可 靠 保证 。 基 于 密码 的 
数字 签名 和 身份 认证 是 当前 保证 信息 完整 性 的 最 主要 方法 之 一 ， 密 码 技术 主要 包括 古典 密码 
体制 、 单 钥 密码 体制 、 公 钥 密 码 体制 、 数 字 签 名 以 及 密 钥 管理 ， 详 见 后 续 章 节 。 

5. 切断 传播 途径 


对 被 感染 的 硬盘 和 计算 机 进行 彻底 杀毒 处 理 , 不 使 用 来 历 不 明 的 U 盘 和 程序 ,不 随意 下 
载 网 络 可 疑 信息 。 


6. 提高 网 络 反 病毒 技术 能 

通过 安装 病毒 防火 增进 行 实时 过 滤 ， 对 网 络 服务 器 中 的 文件 进行 频繁 扫描 和 监测 ， 在 
工作 站 上 采用 防 病毒 卡 ， 加 强 网 络 目 录 和 文件 访问 权限 的 设置 。 在 网 络 中 ， 限 制 只 能 由 服务 
器 允许 执行 的 文件 。 

7. 研发 并 完善 高 安全 的 操作 系统 


研发 具有 高 安全 的 操作 系统 ， 不 给 病毒 得 以 滋生 的 温床 才能 更 安全 。 

综合 安全 保障 体系 可 以 由 实时 防御 、 常 规 评估 和 基础 设施 三 部 分 组 成 。 实 时 防御 系统 由 
入 侵 检测 、 应 急 响 应 、 灾 难 恢复 和 防守 反击 等 功能 模块 构成 ， 入 侵 检测 模块 对 通过 防火 墙 的 
数据 流 进行 进一步 检查 ， 以 阻止 恶意 的 攻击 行为 ， 应 急 响 应 模块 对 攻击 事件 进行 应 急 处 理 ， 
灾难 恢复 模块 按照 策略 对 遭受 破坏 的 信息 进行 恢复 ， 防 守 反 击 模块 按照 策略 实施 反击 。 常 规 
评 佑 系统 利用 脆弱 性 数据 库 检测 与 分 析 网 络 系统 本 身 存在 的 安全 隐患 ， 为 实时 防御 系统 提供 
策略 调整 依据 。 基 础 设施 由 攻击 特征 库 、 隐患 数据 库 以 及 威胁 评估 数据 库 等 基础 数据 库 组 成 ， 
支撑 实时 防御 系统 和 常规 评估 系统 的 工作 。 

计算 机 网 络 安全 是 一 项 复杂 的 系统 工程 , 涉及 技术 、 设 备 、 管 理 和 制度 等 多 方面 的 因素 ， 
安全 解决 方案 的 制定 需要 从 整体 上 把 握 。 网 络 安全 解决 方案 是 综合 各 种 计算 机 网 络 信息 系统 
安全 技术 ， 将 安全 操作 系统 技术 、 防 火 墙 技术 、 病 毒 防 护 技术 、 入 侵 检测 技术 、 安 全 扫描 技 
术 等 综合 起 来 ， 形 成 一 套 完整 的 、 协 调 一 致 的 网 络 安全 防护 体系 。 我 们 必须 做 到 管理 和 技术 
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并 重 ， 安 全 技术 必须 结合 安全 措施 ， 并 加 强 计算 机 立法 和 执法 的 力度 ， 建立 备份 和 恢复 机 制 ， 
制定 相应 的 安全 标准 。 此 外 ， 由 于 计算 机 病毒 、 计 算 机 犯罪 等 技术 是 不 分 国界 的 ， 因 此 必须 
进行 充分 的 国际 合作 ， 共 同 对 付 日 益 独 锋 的 计算 机 犯罪 和 计算 机 病毒 等 问题 


2.4.3 ”安全 评估 标准 


安全 标准 是 安全 理论 和 技术 用 于 实践 的 纲领 性 规范 ， 是 安全 理论 和 技术 的 总 结 ， 对 安全 
产业 发 展 具 有 指导 性 作用 。 安 全 标准 对 安全 产品 的 功能 、 结 构 及 互 操作 性 都 提出 了 要 求 。 安 
全 标准 的 制定 也 是 一 个 国家 科研 水 平 、 技 术 能 力 的 体现 ， 反 映 了 一 个 国家 的 综合 实力 。 安 全 
标准 还 是 加 入 WTO 的 国家 保护 自己 利益 的 重要 手段 ， 因 此 , 各 国都 很 注重 安全 标准 的 研究 、 
制定 和 推广 工作 。 

回顾 一 下 安全 标准 发 展 的 过 程 : 第 一 个 有 关 信息 技术 安全 评价 的 标准 诞生 于 20 世纪 80 
年 代 的 美国 ， 即 著名 的 《可 信 计 算 机 系统 评价 准则 》CTCSEC)， 俗 称 橘 皮 书 ， 它 是 第 一 个 正 
式 的 计算 机 信息 安全 评估 标准 ， 具 有 划时代 的 意义 ， 于 1970 年 由 美国 国防 科学 委员 会 提出 ， 
并 于 1985 年 12 月 由 美国 国防 部 公布 。TCSEC 将 安全 分 为 4 个 方面 : 安全 策略 、 可 说 明 性 、 
安全 保障 和 文档 。 该 标准 将 计算 机 系统 的 安全 划分 为 4 个 类 别 8 个 级 别 ， 按 照 安全 程度 由 低 
到 高 依次 是 : DI、Cl1、C2、Bl1、B2、B3、Al 及 超 Al 级 。 

从 20 世纪 90 年 代 开始 ， 一 些 国家 和 国际 组 织 相继 提出 了 新 的 安全 评价 准则 。1991 年 ， 
欧 共 体 发 布 了 《信息 技术 安全 评价 准则 》GTSEC)。1993 年 ， 加 拿 大 发 布 了 《加 拿 大 可 信 计 
算 机 产品 评价 准则 》(CTCPEC)，CTCPEC 综合 了 TCSEC 和 ITSEC 两 个 准则 的 优点 。 同 年 ， 
美国 在 对 TCSEC 进行 修改 补充 并 吸收 ITSEC 优点 的 基础 上 ， 发 布 了 《信息 技术 安全 评价 联 
邦 准则 》GC)。1993 年 6 月 ,来自 六 国 七 方 的 组 织 ， 包 括 加 拿 大 、 法 国 、 德 国 、 荷 兰 、 英 国 、 
美国 , 共同 起 草 了 一 份 通用 准则 (CC)， 并 将 CC 推广 为 国际 标准 。CC 发 布 的 目的 是 建立 一 个 
各 国都 能 接受 的 通用 的 安全 评价 准则 ， 国 家 与 国家 之 间 可 以 通过 签订 互 认 协 议 来 决定 相互 接 
受 的 认可 级 别 ， 这 样 能 使 基础 性 安全 产品 在 通过 CC 准则 评价 并 得 到 许可 进入 国际 市 场 时 ， 
不 需要 再 作 评 价 。 

上 述 各 种 标准 之 间 存 在 着 一 定 的 相互 关系 ， 如 图 2-6 所 示 。 
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图 2-6 国际 安全 评测 标准 及 其 联系 


“44。 计算 机 网 络 安全 教程 


计算 机 系统 安全 评价 标准 是 一 种 技术 性 法 规 。 在 信息 安全 这 一 特殊 领域 ， 如 果 没 有 这 一 
标准 ， 与 此 相关 的 立法 、 执 法 就 会 有 失 偏 颇 ， 最 终 会 给 国家 的 信息 安全 带 来 严重 后 果 。 由 于 
言 县 安全 产品 和 系统 的 安全 评价 事 关 国家 的 安全 利益 ， 因 此 许多 国家 都 在 充分 借鉴 国际 标准 
的 前 提 下 ， 积 极 制定 本 国 的 计算 机 安全 评价 认证 标准 。 


本 章 小 结 


本 章 主要 介绍 了 网 络 安全 的 基本 知识 ， 包 括 : 网 络 安全 发 展 历程 ， 网 络 安全 的 含义 和 要 
素 ; 从 网 络 安全 面临 的 威胁 、 需 求 分 析出 发 ,阐述 了 安全 模型 和 体系 结构 , 重点 介绍 了 PDRR 
安全 模型 和 PPDR 安全 模型 ;讲述 了 国际 计算 机 系统 安全 评估 标准 ， 包 括 著名 的 橘 皮 书 
TCSEC、ITSEC、CTCPEC、FC、 国 际 通用 准则 CC 以 及 各 种 安全 标准 之 间 的 联系 。 和 希望 读 
者 通过 对 本 章 的 学 习 能 够 掌握 基础 的 网 络 安全 知识 。 有 关上 述 安 全 标准 的 细节 内 容 ， 以 及 中 
国 的 信息 系统 安全 标准 ， 我 们 将 在 第 15 章 中 介绍 , 在 此 不 做 袭 述 , 需要 了 解 相 关 细 节 的 读者 


请 参阅 该 相关 章节 。 


课 后 练习 


一 、 填空 是 

1. 网 络 安全 发 展 过 程 经 历 了 三 个 阶段 ， 它 们 是 ( 大 )、( ) 

2. 网 络 安全 的 要 素 ， 包 括 ( )、( )、( )、( ) 
( )x( js 

3. 本 文 介绍 了 两 种 常见 的 网 络 安 全 模型 ， 是 ( )、( )。 

4. PDRR 安全 模型 中 的 P、D、R、R 分 别 代表 ( )、( )、( )、 
( )。 

5. 在 TCSEC 标准 中 , 安全 级 别 由 高 到 低 分 别 是 ( JS )\( )、 
( )s{ )、( )、( | )。 

二 、 选择 题 

1. TCSEC(Trusted Computer System Evaluation Criteria) 俗 称 ( 二 
A. 蓝皮书 B. 橘 皮 书 C. 黄皮书 D. 红 宝 书 

2. TCSEC 标准 将 计算 机 系统 的 安全 划分 为 (  ) 个 类 别 ，(  ) 个 级 别 。 
A.4 BS C6 D.8 


3. 下 述 选项 中 ，( ”“”) 是 综合 了 TCSEC 和 ITSEC 的 优点 而 制定 的 安全 标准 。 
A.FC B.CC C. CTCPEC D. IPSec 
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4. 下 述 安全 标准 中 ，( ”) 是 目前 的 国际 通用 安全 标准 。 


A.FC B66 C.ITSEC 
5. 下 列 要 素 中 ， 属 于 网 络 安全 范畴 的 有 ( ”)。 
A. 完整 性 B. 可 移植 性 C. 可 靠 性 


三 、 简 答 题 


1. 网 络 安全 的 目标 主要 体现 在 哪 几 个 方面 ? 
2. 简 述 PDRR 安全 模型 的 主要 内 容 。 

3. 简 述 PPDR 安全 模型 的 主要 内 容 。 

4. 简 述 TCSEC 安全 标准 的 主要 内 容 。 


D. TCSEC 


D. 不 可 抵赖 性 


5. 简 述 TCSEC、ITSEC、CTCPEC、FC、CC 安全 标准 之 间 的 相互 关系 。 


第 3 章 ”计算 机 物理 安全 


计算 机 物理 安全 就 是 为 了 保证 计算 机 系统 安全 可 靠 性 ,确保 计算 机 系统 在 对 信息 进行 采 
集 、 处 理 、 传 输 、 存 储 过 程 中 ， 不 受到 人 为 (包括 未 授权 使 用 计算 机 资源 ) 或 自然 因素 的 危害 ， 
而 导致 信息 丢失 、 汇 露 或 者 破坏 ， 对 计算 机 环境 、 设 备 、 人 员 、 设 施 (包括 机 房 建筑 、 供 电 、 
空调 等 ) 采 取 适 当 的 安全 防范 措施 。 

本 章 主 要 介绍 环境 的 基本 安全 ;机 房 的 安全 等 级 和 技术 要 求 ; 访问 控制 ， 磁 场 、 静 电 防 
范 ， 电 磁 波 辐射 与 干扰 ; 电源 保护 ， 磁 介质 的 存储 与 处 理 ， 应 急 备 份 措施 等 内 容 。 


本 章 重点 

环境 安全 

机 房 安全 及 等 级 
设备 安全 

突 发 应 急 计划 


3.1 环境 安全 


计算 机 辅助 环境 系统 的 安全 统称 为 计算 机 环境 安全 , 主要 包括 计算 机 设备 的 位 置 (在 网 络 
环境 里 ， 具 体 体现 为 计算 机 机 房 )、 自 然 灾 害 的 防备 、 物 理 选 址 与 建筑 材料 等 。 基 本 的 环境 安 
全 可 以 提供 计算 机 系统 安全 的 可 靠 运行 环境 。 

3.1.1 计算 机 设备 的 位 置 

计算 机 设备 从 某 种 意义 上 来 说 属于 精密 仪器 ， 应 该 安放 在 专用 的 计算 机 机 房 或 者 专门 为 
计算 机 建造 的 建筑 里 ， 远 离 街 道 , 远离 火 源 、 容 易 着 火 的 地 方 或 易 受潮 其 至 被 水 淹没 的 地 方 。 
设备 的 安放 位 置 不 宜 利用 建筑 物 外 层 的 房间 ， 也 不 应 该 设 在 锅炉 房 附近 或 者 有 潜在 危险 的 区 
域 ， 同 时 要 避免 放 在 有 高 压 、 大 型 变压器 或 发 电机 等 强 电 辐射 源 附近 。 

3.1.2 自然 灾害 的 防备 

环境 安全 措施 得 当 ， 可 以 减少 发 生 因 火灾 、 温 度 和 湿度 对 计算 机 设备 造成 的 有 害 影 响 。 
将 密集 的 磁盘 存储 设备 分 开放 置 以 减少 密度 ， 将 关键 性 的 存储 设备 或 其 他 媒介 存放 在 耐火 的 
房间 或 保险 箱 内 。 同 时 ， 在 防火 的 房间 或 保险 箱 内 保存 重要 的 资料 文件 的 副本 也 非常 重要 。 
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在 计算 机 设备 密集 的 环境 内 应 该 安放 防火 器 材 与 设备 。 为 了 确保 灾害 发 生 时 人 员 能 安全 撤离 
及 转移 设备 ， 应 留 有 必要 的 空间 和 通道 。 环 境 温 度 对 计算 机 可 靠 运行 的 影响 非常 明显 。 有 关 
统计 数据 表明 : 对 集成 电路 和 电子 元 器 件 ， 室 温 在 规定 使 用 范围 内 每 增加 10C， 其 可 靠 性 将 
降低 25%， 期 间 周 围 的 环境 温度 超过 60C， 计 算 机 就 容易 发 生 故 障 。 温 度 对 电容 的 影响 主要 
是 使 其 使 用 寿命 缩短 ， 其 次 是 引起 电容 量 和 功率 等 参数 的 变化 。 温 度 对 磁 介 质 导 磁 率 的 变化 
也 有 影响 。 温 度 过 低 会 使 绝缘 材料 变 硬 、 变 脆 。 为 了 克服 湿度 给 计算 机 设备 带 来 的 危害 ， 通 
常 要 求 把 湿度 控制 在 45% 一 65% 之 间 。 


3.1.3 ” 选 址 与 建筑 材料 


为 了 防止 计算 机 设备 遭 到 周围 不 利 环境 的 意外 损害 ， 应 尽量 避免 计算 机 环境 建立 在 易 燃 
易 爆 的 厂房 。 另 外 ， 应 该 避 开 污染 区 ， 如 化 工 工业 污染 区 、 风 沙 区 、 煤 场 以 及 有 害 气 体 区 域 
等 。 为 了 防止 爆炸 等 危险 ， 在 与 邻 室 相连 接 处 ， 最 好 设置 一 个 缓冲 地 带 或 者 隔离 设施 ， 确 保 
把 好 第 一 道 关 以 将 火苗 过 制 住 。 


3.2 ”机 房 安全 及 等 级 


中 华人 民 共 和 国电 子 工 业 部 1988 年 4 月 26 日 批准 ， 并 于 1988 年 10 月 1 日 实施 了 计算 
机 站 场地 安全 要 求 的 国家 标准 GB9361 一 1988， 对 计算 机 机 房 的 安全 进行 了 分 类 。 


3.2.1 适用 范围 


该 标准 规定 了 计算 机 站 场地 的 安全 要 求 ， 适 用 于 各 类 地 面 计算 机 站 。 不 建站 的 地 面 计算 
机 机 房 、 改 建 的 计算 机 机 房 、 非 地 面 计算 机 机 房 参照 此 标准 执行 。 


3.2.2 ”相关 术语 


e 计算 站 场地 : 计算 机 系统 的 安置 地 点 ， 机 供电 、 空 调 以 及 该 系统 维修 的 工作 场所 。 
e 计算 机 机 房 : 是 计算 站 场地 最 主要 的 房间 ， 放 置 计 算 机 系统 主要 设备 的 地 点 。 

e 非 燃 烧 材料 ， 指 材料 受 燃 烧 或 高 温 时 ， 不 起 火 、 不 微 燃 、 不 碳化 、 只 软化 的 材料 。 
。 难 燃烧 材料 ， 指 材料 受到 燃烧 或 高 温 作用 时 ， 难 起 火 、 难 微 燃 、 难 碳化 的 材料 。 
e 活动 地 板 : 是 指 计算 机 机 房 内 安装 的 、 可 灵活 装 拆 的 地 板 。 

。 温 感 探测 器 : 指 在 物质 燃烧 时 ， 使 周围 空气 温度 升 高 致使 发 生 报警 信号 的 装置 。 
e 烟 感 探测 器 : 指 物质 因 燃烧 或 发 热 而 分 解 生成 的 烟雾 致使 发 出 报警 信号 的 装置 。 
e 应 急 断 电 装置 : 指 机 房 发 生意 外 事件 时 ， 能 立刻 切断 计算 机 系统 供电 电源 的 装置 。 
e 接地 : 指 系统 的 直流 、 交 流 工作 地 、 安 全 保护 地 和 防 雷 保护 地 与 大 地 之 间 的 连接 。 
e 二 次 破坏 : 指 为 了 消灭 火灾 而 采取 的 方法 不 当 ， 造 成 对 设备 、 信 息 等 的 再 次 破坏 。 
e 安全 区 : 指 采取 安全 措施 能 达到 的 有 效 区 域 。 
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3.2.3 ”计算 机 机 房 的 安全 分 类 


1. 计算 机 机 房 的 安全 类 别 


根据 标准 GB9361 一 1988 计算 机 机 房 的 安全 分 为 A 级、B 级 、C 级 三 个 基本 级 别 。 把 要 
求 具 有 最 高 安全 性 、 可 靠 性 的 系统 应 实施 的 内 容 定 为 A 级 安全 机 房 ，A 级 对 计算 机 机 房 的 安 
全 有 严格 的 要 求 ， 有 完善 的 安全 措施 ;，C 级 则 是 为 确保 系统 做 一 般 性 运行 时 要 求 的 最 低 限度 
的 安全 性 、 可 靠 性 所 应 实施 的 内 容 ，C 级 对 计算 机 机 房 的 安全 有 基本 的 要 求 ， 有 基本 的 计算 
机 机 房 安 全 措施 ， 介 于 A 级 和 C 级 之 间 的 是 B 级 ，B 级 对 计算 机 机 房 的 安全 有 较 严格 的 要 
求 ， 有 较为 完善 的 计算 机 机 房 安 全 措施 。 

2. 计算 机 机 房 的 安全 要 求 


国家 标准 GB9361 一 1988 对 计算 机 机 房 的 安全 要 求 根据 机 房 的 安全 级 别 而 有 所 不 同 ， 具 
体内 容 如 表 3-1 所 示 。 


表 3-1 计算 机 机 房 的 安全 要 求 


机 房 安全 类 别 指标 
C 类 安全 机 房 | “BB 类 安全 机 房 ”| 。 A 类 安全 机 房 
安全 项 目 


场地 选择 十 十 
防火 
内 部 装修 | 

供 杷 电 系统 3 
容 调 系统 十 十 一 
火灾 报警 及 消防 设施 四 
防水 9 
防 静电 i 车 
防 雷击 和 到 
防 耻 MO - 
电磁 波 的 防护 | = | 和 | = 


3. 安全 执行 策略 
根据 计算 机 机 房 安全 的 要 求 ， 机 房 安全 可 按 某 一 类 执行 ， 也 可 按 某 些 类 综合 执行 。 
3.2.4 场地 的 选择 


在 建立 计算 机 机 房 场地 的 初始 阶段 ， 选 择 符合 安全 标准 的 场地 是 头等 重要 的 因素 ， 国 家 
标准 对 如 何 选择 符合 各 安全 等 级 的 机 房 的 场地 有 明确 的 规定 。 
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1.B 类 安全 机 房 的 选 址 要 求 


e 应 避 开 易 发 生火 灾 危 险 程度 高 的 区 域 。 

e 应 避 开 人 尘埃、 有害 气 体 来 源 以 及 存放 腐蚀 、 易 燃 、 易 爆 物 品 的 地 方 。 

e 应 避 开 低洼 、 潮 湿 、 落 雷 区 域 和 地 震 频 繁 的 地 方 。 

e 应 避 开 强 振动 源 和 强 噪声 源 。 

e 应 避 开 强 电磁 场 的 干扰 。 

e 应 避免 设 在 建筑 物 的 高 层 或 地 下 室 ， 以 及 用 水 设备 的 下 层 或 隔壁 。 

e 应 避 开 重 盐 害 地 区 。 

2. C 类 安全 机 房 的 选 址 要 求 

参照 B 类 各 条 执行 ， 如 果 有 特殊 要 求 ， 各 部 门 单位 将 另行 指出 。 

3. 人 类 安全 机 房 的 选 址 要 求 

人 A 类 安全 机 房 除 要 满足 B 类 各 种 要 求 外 ， 还 应 将 其 置 于 建筑 物 安全 区 内 。 
3.2.5 ”结构 防火 

建造 计算 机 机 房 时 应 考虑 到 防备 各 类 自然 灾害 ， 其 中 最 典型 的 就 是 防止 火灾 问题 。 计 算 


机 机 房 起 火 的 原因 一 般 有 以 下 几 点 : 外 部 房间 起 火 后 蔓延 到 机 房 ， 技术 和 管理 上 的 疏忽 ， 人 
为 的 不 慎 引 起 火灾 。 计 算 机 机 房 对 于 结构 防火 有 一 定 的 要 求 。 
3.2.6 ”计算 机 机 房 内 部 装修 

国家 标准 GB9361 一 1988 对 计算 机 机 房 的 安全 要 求 中 ， 对 机 房 内 部 的 装修 也 做 出 了 相应 
的 规定 。 

1. A、B 类 安全 机 房 应 符合 的 要 求 

1) 计算 机 机 房 装 修 材 料 

计算 机 机 房 装 修 材料 应 符合 TJ16 中 规定 的 难 燃 材 料 和 非 燃 材料 ， 应 能 防潮 、 吸 音 、 不 
起 尘 、 抗 静电 等 。 

2) 活动 地 板 

标准 中 对 机 房 需要 使 用 的 活动 地 板 也 提出 了 相应 的 要 求 。 

2. C 类 安全 机 房 应 符合 的 要 求 

参照 A、B 类 执行 。 
3.2.7 计算 机 机 房 专 用 设备 

此 外 ， 该 标准 对 机 房 的 安全 要 求 中 ， 也 包括 了 对 一 些 机 房 专用 设备 的 安全 标准 。 

1. 供 配 电 系统 

电源 质量 对 计算 机 可 靠 运行 的 影响 很 大 。 为 计算 机 提供 的 电源 质量 的 好 坏 ， 直 接 影响 着 
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计算 机 的 可 靠 运行 。 发 生 电 源 故 障 可 能 会 导致 以 下 毁坏 性 的 后 果 : 数据 全 部 丢失 ;输入 和 输 


出 逻辑 出 错 ; 影响 中 央 处 理 机 的 性 能 ， 计 算 机 失去 瞬息 记忆 ; 短路 中 央 处 理 机 的 内 部 电路 ; 
电源 过 载 引 起 中 央 处 理 机 内 电气 燃烧 等 。 
1) A、B 类 安全 机 房 应 符合 的 要 求 


计算 机 站 应 设 专用 可 靠 的 供电 线路 。 

计算 机 系统 的 电源 设备 应 提供 稳定 可 靠 的 电源 。 

供电 电源 设备 的 容量 应 具有 一 定 的 余 量 。 

供电 电源 技术 指标 应 按 GB2887《 计 算 站 场地 技术 要 求 》 中 第 9 章 的 规定 执行 。 
独立 配 电 时 宜 采用 干 式 变压器 。 安 装 油 浸 式 变压器 时 应 符合 GBJ232 中 的 规定 。 
使 用 的 电缆 除 应 符合 GBJ232 中 配 线 工程 中 的 规定 外 ， 载 流量 应 减少 50%。 
计算 机 系统 用 的 分 电 盘 应 放置 在 计算 机 机 房 内 ， 并 应 采取 防 触电 措施 。 

从 盘 到 计算 机 系统 的 各 种 设备 的 电缆 应 为 耐 燃 铜 芯 屏 蔽 的 电费。 

设备 走 线 不 得 与 空调 设备 、 电 源 设备 的 无 电磁 屏蔽 的 走 线 平行 。 

应 选用 铜 芯 电 缆 ， 严 禁 铜 、 铝 混用 ， 若 不 能 避免 时 ， 应 采用 铀 铝 过 渡头 连接 。 
计算 机 电源 系统 的 所 有 接点 均 应 镀 铅 锡 处 理 ， 冷 压 连接 。 

在 计算 机 机 房 出 入 口 处 或 值班 室 ， 应 设置 应 急电 话 和 应 急 断 电 装 置 。 

计算 机 站 场地 宜 采 用 封闭 式 蓄电池 。 

使 用 半 封 闭 式 或 开启 式 蓄电池 时 ， 应 设 专用 房间 。 

房间 墙壁 、 地 板 表面 应 做 防腐 蚀 处 理 ， 并 设置 防爆 灯 、 防 爆 开 关 和 排 风 装 置 。 
接地 应 采用 专用 地 线 ， 专 用 地 线 的 引线 应 和 大 楼 的 钢筋 网 及 各 种 金属 管道 绝缘 。 
几 种 接地 技术 要 求 及 诸 地 之 间 的 相互 关系 应 符合 GB2887 中 的 规定 。 

计算 机 机 房 应 安装 有 应 急 照 明和 安全 口 的 指示 灯 。 


2) C 类 安全 机 房 应 符合 的 要 求 

应 满足 GB2887 中 规定 的 三 类 供电 要 求 。 

2. 空调 系统 

机 房 空 调 是 保证 计算 机 系统 正常 工作 的 重要 手段 之 一 。 通 过 空调 调节 机 房 温 度 、 湿 度 和 
洁净 度 ， 为 计算 机 设备 创造 良好 的 运行 环境 。 

1) A、B 类 计算 机 机 房 应 符合 的 要 求 


采用 专用 空调 设备 ， 若 与 其 他 系统 共用 ， 应 保证 空调 效果 并 采取 防火 措施 。 

空调 系统 的 主要 设备 应 有 备份 ， 空 调 设备 在 能 量 上 应 有 一 定 的 余 量 。 

尽量 采用 风 冷 式 空调 设备 ， 空 调 设备 的 室外 部 分 应 安装 在 便于 维修 和 安全 的 地 方 。 
电 加 热 器 和 加 湿 器 应 有 防火 护 衬 ， 并 尽 可 能 使 电器 远离 易 燃 材 料 制 成 的 空气 过 滤器 。 
空调 设备 的 隔 热 材料 应 采用 难 燃 材 料 或 非 燃 材料 。 

安装 在 活动 地 板 上 及 吊顶 上 的 送 、 回 风口 应 采用 难 燃 材 料 或 非 燃 材料 。 

新 风 系统 应 安装 空气 过 滤器 ， 新 风 设备 主体 部 分 应 采用 难 燃 材料 或 非 燃 材料 。 


第 3 章 计算 机 物理 安全 “51。 


e 采用 水 冷 式 空调 设备 时 ， 应 设置 漏水 报警 装置 ， 并 设置 防水 小 坦 ， 还 应 注意 冷却 塔 、 
泵 、 水 箱 等 供水 设备 的 防冻 、 防 火 措施 。 

2) C 类 安全 机 房 的 环境 条 件 

应 满足 计算 机 厂家 关于 安装 环境 中 的 对 空调 系统 的 技术 要 求 。 


3. 其 他 设备 和 辅助 材料 


除了 上 述 一 些 设备 、 材 料 外 ， 根 据 不 同 的 需要 ， 不 同 机 房 也 许 会 有 各 自 不 同 的 辅助 设备 
和 材料 ， 对 这 些 设备 和 辅助 性 材料 的 选择 ， 该 准则 也 提出 了 几 点 注意 事项 。 

e 使 用 的 辅助 设备 应 是 难 燃 材 料 和 非 燃 材 料 ， 应 采取 防火 、 防 潮 、 防 磁 、 防 静电 措施 。 

e 计算 机 机 房 应 尽量 不 使 用 地 毯 。 

e 计算 机 机 房 内 所 使 用 的 纸 、 磁 带 和 胶卷 等 易 燃 物 品 要 放置 于 金属 制 的 防火 柜 内 。 

e 窗帘 和 屏风 应 选用 难 燃 材料 或 非 燃 材料 。 


3.2.8 火灾 报警 及 消防 设施 


此 外 , 不 能 忽略 的 一 个 要 点 是 : 符合 安全 标准 的 机 房 ,应 该 配备 基本 的 火警 和 消防 设施 。 
e。 A、B 类 安全 机 房 应 设置 火灾 报警 装置 。 

A 类 安全 机 房 应 设置 卤 代 烷 1211、1301 消防 系统 ， 卤 代 烷 1211、1301 灭火 器 。 

B 类 安全 机 房 在 条 件 许可 的 情况 下 ， 应 设置 1211、1301 消防 系统 ， 并 备 灭 火器 。 
C 类 安全 机 房 内 应 设置 讽 代 烷 1211 或 1301 灭火 器 。 

除 纸 介 质 等 易 燃 物质 外 ， 禁 止 使 用 水 、 干 粉 或 泡沫 等 易 产生 二 次 破坏 的 灭火 剂 。 


3.2.9 其 他 防护 和 安全 管理 


1. 防水 


除了 防火 外 ， 人 们 想到 的 第 一 个 安全 防范 措施 往往 就 是 防水 ， 对 机 房 安全 的 要 求 当然 不 
能 少 了 相关 的 规定 。 
e 有 了 暖气 装置 的 计算 机 机 房 ， 沿 机 房 地 面 周围 应 设 排 水 沟 ， 应 注意 对 暧 气管 道 进行 定 
期 检查 和 维修 。 通 往 机 房 地 沟 的 墙壁 或 是 地 面 应 该 能 防水 渗透 。 
e 位 于 用 水 设备 下 层 的 计算 机 机 房 ， 应 在 吊顶 上 设防 水 层 ， 并 设 漏 水 检查 装置 。 
e 已 设 在 地 下 室 的 机 房 ， 必 须 设 有 水 泵 和 带 检验 阀 的 排水 管 和 水 渡 报 警 装置 。 
2. 防 静 电 


计算 机 机 房 的 防 静 电 技 术 属 于 机 房 安 全 防范 范畴 的 一 部 分 。 由 于 种 种 原因 而 产生 的 静 
电 ， 是 发 生 最 频繁 、 最 难 消除 的 危害 之 一 。 静 电 不 仅 会 使 计算 机 运行 出 现 随机 故障 ， 而 且 还 
会 导致 某 些 元 器 件 ， 如 CMOS、MOS 电路 ， 双 极 性 电路 等 的 击 穿 和 毁坏 。 此 外 ， 还 会 影响 
操作 人 员 和 维护 人 员 的 正常 工作 和 身心 健康 。 

静电 的 产生 和 静电 带电 : 静电 放电 可 形成 火 源 引 起 火灾 。 由 带 静 电 的 人 体 或 是 由 带 静 电 
的 物体 向 人 体 放电 ， 在 人 体内 有 电流 通过 ， 会 产生 “静电 单 击 ”。 
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静电 对 计算 机 的 影响 ， 主 要 体现 在 静电 对 半导体 器 件 的 影响 上 。 可 以 说 半导体 器 件 对 静 
电 的 敏感 ， 也 就 是 计算 机 对 静电 的 敏感 。 静 电 对 电子 计算 机 的 影响 表现 有 两 种 类 型 。 一 种 是 
元 件 损害 ， 一 种 是 引起 计算 机 误 动作 或 运算 错误 。 

元 件 损害 主要 是 指 用 于 计算 机 的 中 、 大 规模 集成 电路 的 损害 ， 另 外 ， 对 双 极 性 电路 也 有 
一 定 的 影响 。 对 于 早期 的 MOS 电路 ， 当 静电 带电 体 (通常 静电 电压 很 高 ) 触 及 MOS 电路 管 脚 
时 ， 静 电 带 电 体 对 其 放电 ， 使 MOS 电路 击 穿 。 

3. 防 雷 击 


除了 防火 、 防 水 之 外 ， 人 们 日 常生 活 中 经 常会 遇 到 的 一 个 自然 灾害 也 许 就 是 雷 。 国 家 对 
计算 机 机 房 安全 的 要 求 当中 也 考虑 到 了 如 何 防 止 雷 击 的 问题 。 

e@ 计算 机 机 房 应 符合 GB157《 建 筑 防 雷 设计 规范 》 中 的 防 雷 措施 。 

e 在 雷电 频繁 区 域 ， 应 装 设 浪 涌 电 压 吸收 装置 。 

4. 防 鼠 害 


不 少 计算 机 用 户 遇 到 过 这 样 的 情况 , 网 线 或 各 种 计算 机 外 设 的 连 线 , 不 知 何 时 被 咬 断 了 ， 
上 面 留 着 一 些 齿 印 ， 人 们 首先 想到 的 往往 是 鼠 。 国 家 对 计算 机 机 房 的 安全 标准 里 也 涉及 这 方 
面 的 内 容 : 

e 在 易 受 鼠 害 的 场所 ， 机 房 内 的 电线 和 电线 上 应 涂 琢 驱 鼠 药剂 。 

e 计算 机 机 房 内 应 设置 捕 鼠 或 驱 鼠 装置 。 

5. 防 电磁 波 


如 果 附 近 有 大 的 电磁 场 ， 会 严重 影响 到 计算 机 机 房 设备 的 正常 工作 和 使 用 寿命 ， 因 此 ， 
对 这 一 类 的 防护 也 被 包括 在 国家 机 房 安 全 标准 当中 。 

e。 A、B 类 安全 机 房 电 磁场 干扰 环境 场 强 应 满足 GB2887 中 的 有 关 要 求 。 

e 在 安全 区 边界 由 计算 机 辐射 而 产生 的 电磁 场 强度 不 应 大 于 有 关 标 准 的 规定 。 


3.3 设备 安全 


计算 机 网 络 安全 所 面临 的 威胁 分 为 两 种 : 一 是 对 数据 的 威胁 ; 二 是 对 设备 的 威胁 。 无 论 
用 户 拥有 的 是 一 台 计 算 机 设备 ， 还 是 由 一 套 计算 机 设备 组 成 的 网 络 ， 设 备 安全 的 基本 原理 都 
是 相通 的 。 最 显而易见 的 一 点 ， 就 是 通过 物理 隔离 的 方法 实现 对 计算 机 设备 及 网 络 的 安全 
保护 。 

国家 保密 局 2000 年 1 月 1 日 颁布 实施 的 《计算 机 信息 系统 国际 联网 保密 管理 规定 》 第 
二 章 第 六 条 规定 : “涉及 国家 秘密 的 计算 机 信息 系统 ， 不 得 直接 或 间接 地 与 国际 互联 网 或 其 
他 公共 信息 网 络 相连 接 ， 必 须 实行 物理 隔离 。” 

所 谓 “ 物 理 隔离 ”是 指 内 部 网 不 直接 或 间接 地 连接 公共 网 。 物 理 安全 的 目的 是 保护 路 由 
器 、 工 作 站 、 网 络 服务 器 等 便 件 实体 和 通信 链 路 免 受 自然 灾害 、 人 为 破坏 和 搭 线 窃 听 攻 击 。 
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在 实行 物理 隔离 之 前 ， 我 们 对 网 络 的 信息 安全 有 许多 捕 施 ， 如 在 网 络 中 增加 防火 墙 、 防 病毒 
系统 ， 对 网 络 进行 入 侵 检 测 、 漏 洞 扫描 等 。 

下 面 从 计算 机 硬件 安全 、 磁 介质 安全 、 信 息 加 密 解 密 、 硬 盘 锁 等 方面 进一步 讨论 设备 安 
全 的 有 关 问 题 。 


3.3.1 计算 机 硬件 物理 安全 


计算 机 设备 的 体积 ， 随 着 中 央 处 理 器 的 运算 速度 越 来 越 快 而 变 得 越 来 越 小 ， 因 此 也 导致 
了 计算 机 硬件 设备 被 移动 的 可 能 性 越 来 越 大 ， 安 全 性 越 来 越 差 。 

1. 固定 设备 

固定 硬件 设备 是 指 将 计算 机 固定 在 桌子 或 其 他 物体 上 ， 一 般 是 不 能 被 移动 的 物体 ， 这 使 
得 计算 机 无 法 随便 被 移动 。 这 类 装置 很 简单 实用 ， 特 别 是 对 台式 计算 机 而 言 。 

2. 给 设备 加 锁 


锁 可 以 防止 无 关 人 员 擅 自打 开 计 算 机 ， 从 机 箱 内 部 拆 彼 配件 。 

最 简单 实用 的 办 法 可 以 考虑 配置 一 个 专用 的 计算 机 柜 ， 平 时 是 一 个 工作 台 ， 工 作 结 束 离 
开 以 后 ， 把 设备 锁 在 柜子 里 。 

另 一 种 可 以 考虑 的 方法 是 安装 电子 报警 系统 ， 一 张 IC 卡 插 在 计算 机 设备 里 ， 它 能 在 机 
器 断 开 电源 而 移动 的 时 候 发 出 高 分 贝 的 报警 声 ， 这 样 能 加 强 对 必须 不 间断 工作 的 计算 机 设备 
的 安全 防范 。 

3. 给 设备 加 标签 


给 计算 机 加 上 标签 是 一 个 不 错 的 方法 ， 在 失 宵 后 可 以 帮助 侦破 工作 ， 尽 快 找 回 失物 。 

目前 还 有 一 些 新 的 标签 方法 ， 在 机 器 上 喷洒 一 种 特殊 的 化 学 成 分 形成 的 涂 层 ， 利 用 该 化 
学 成 分 作为 特殊 的 标识 。 某 些 此 类 标签 甚至 很 难 被 涂改 、 擦 除 ， 更 高 级 的 甚至 是 隐形 的 必须 
通过 某 种 化 学 成 分 的 处 理 才能 显现 。 当 然 ， 越 复杂 的 技术 和 服务 ， 价 格 也 越 高 。 用 户 可 以 根 
据 实际 需要 ， 选 择 适 合 本 身 的 特殊 环境 的 产品 。 

4. 访问 控制 


早期 的 计算 机 用 的 最 多 的 存储 介质 是 磁盘 ， 使 用 频率 很 高 的 输入 输出 设备 是 软驱 。 软 驱 
锁 可 以 有 效 地 防止 其 他 人 使 用 引导 盘 或 病毒 源 盘 非法 访问 计算 机 ， 导 致 病毒 感染 计算 机 里 的 
文件 ， 或 者 破坏 数据 甚至 硬件 。 

某 些 销售 商 可 以 提供 特殊 的 软件 盘 ， 类 似 加 密 狗 ， 这 些 盘 有 非常 高 的 安全 防范 技术 ， 没 
有 这 些 盘 ， 一 般 非法 访问 者 无 法 读 取 计算 机 里 的 数据 。 

硬件 驱动 访问 控制 主要 包括 一 张 装 在 计算 机 里 的 卡 ， 卡 的 硬件 和 某 些 应 用 软件 配合 使 
用 ， 可 以 给 计算 机 用 户 提供 认证 和 授权 访问 文件 的 控制 功能 。 

5. 不 间断 电源 


UPS 是 Uninterruptible Power Supply 的 英文 缩写 ， 翻 译 成 中 文 就 是 不 间断 电源 。 当 所 有 
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电源 都 中 断 的 时 候 , UPS 能 立即 将 墙 上 插座 供电 切换 到 由 其 内 部 电池 供电 。 UPS 有 两 个 用 途 ， 

一 是 帮助 用 户 防止 断 电 时 候 计 算 机 立即 掉 电 ， 丢 失 正在 编辑 的 重要 数据 ;二 是 为 用 户 提供 一 

个 临时 的 电源 ， 以 便 在 必要 的 时 候 而 又 没有 供电 的 情况 下 短 时 间 维 持 计算 机 的 正常 工作 。 
6. 防止 静电 


静电 对 计算 机 而 言 是 一 个 大 祸害 ， 它 的 破坏 力 犹如 地 震 对 建筑 物 一 样 ， 危 害 非常 大 ， 消 
除 静 电 是 计算 机 机 房 建造 和 计算 机 设备 使 用 过 程 中 必须 认真 考虑 的 问题 。 如 前 文 提 到 的 ， 静 
电 可 以 当做 接地 问题 来 解决 ， 在 接触 计算 机 设备 之 前 应 先 使 自身 接地 ， 这 样 做 能 有 效 消除 静 
电 的 影响 。 

7. 监听 输入 输出 设备 


某 些 技术 型 非法 访问 者 也 许 会 采用 改造 硬件 设施 来 达到 监听 计算 机 的 目的 。 其 他 经 常 被 
用 作 监 听 的 设备 有 鼠标 监听 、 软 盘 监 听 、 无 线 网 卡 监听 、 显 示 器 电磁 泄漏 ， 网 络 数据 包 截 取 
等 。 在 使 用 计算 机 时 要 注意 防止 这 些 设备 被 非法 改造 成 一 种 监听 的 装置 。 


3.3.2 ” 磁 介 质 安全 
磁 介 质 在 存储 传递 的 过 程 中 ， 很 容易 受到 窃取 、 自 改 、 人 伪造、 销毁 等 不 法 行为 的 威胁 。 
1. 软磁盘 的 构造 


磁盘 内 部 构造 由 很 多 个 圆 形 盘 片 组 成 ， 每 个 盘 片 上 有 很 多 个 同心 圆 ， 这 些 同心 圆 被 称 为 
磁道 。 每 个 磁道 又 可 以 分 为 若干 个 扇 区 ， 扇 区 可 以 理解 成 一 个 扇形 的 区 域 。 各 个 磁道 上 的 扇 
区 数目 是 一 致 的 ， 因 此 从 里 到 外 的 磁道 的 扇 区 里 的 数据 密度 是 不 同 的 ， 很 明显 ， 内 部 磁道 的 
数据 密度 会 大 于 外 部 磁道 的 密度 。 

一 般 软磁盘 的 使 用 寿命 为 2X 10 次 ， 最 好 的 可 以 使 用 1X10 次 。5.25 英寸 的 软磁盘 有 
一 个 孔 ， 位 于 磁道 的 开头 ， 这 个 孔 被 称 为 索引 孔 。 孔 的 两 边 是 前 置 区 和 后 置 区 ， 前 置 区 里 包 
括 索 引 地 址 标志 (GAM)、 索 引 地 址 标志 同步 区 (SYNC) 以 及 一 些 间 际 (GAP)。 一 般 IBM 个 人 计 
算 机 都 采用 软 扇 区 磁盘 。 

扇 区 的 作用 是 将 数据 分 组 ， 一 般 扇 区 分 为 两 个 部 分 : ID 区 和 数据 区 。 

ID 区 只 在 格式 化 的 时 候 写 入 一 次 ， 数 据 区 包括 同步 区 、 标 志 区 、 数 据 和 CRC 区 域 。 为 
了 适应 各 种 磁盘 转速 ， 在 ID 区 和 数据 区 之 间 还 会 插入 一 些 间隙 (GAP)。 

为 了 提高 效率 ， 记 区 分 成 若干 的 簇 (Cluster)， 每 个 艇 包含 一 定数 目的 遍 区 。 艇 是 存储 磁 
查 文 件 的 基本 单元 ， 每 个 徐 包 含 的 扇 区 数 是 在 格式 化 时 候 指 定 的， 之 后 除非 重新 格式 化 否则 
无 法 修改 这 个 数目 。 每 个 艇 有 编号 , 每 个 扇 区 也 有 逻辑 肩 区 号 , 簇 号 与 扇 区 号 有 对 应 的 关系 ， 
换算 公式 如 下 : 

逻辑 扇 区 号 =( 复 号 一 27X( 扇 区 数 二 艇 数 ) 十 数据 区 起 始 扇 区 号 

格式 化 后 的 磁盘 分 为 四 个 部 分 : 引导 记录 (Boot Record) 区 ; 文件 分 配 表 FAT1、FAT2; 
文件 目录 区 ROOT; 数据 区 DATA。 
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1) 引导 记录 区 

引导 记录 区 占据 逻辑 扇 区 0， 用 来 存放 磁盘 IO 参数 和 DOS 自 举 程序 。 

2) 文件 分 配 表 

对 于 5.25 英寸 低 密度 软磁盘 来 说 ， 文 件 分 配 表 占据 罗 辑 扇 区 1 到 尿 辑 扇 区 4， 用 来 存储 
文件 所 占用 的 空间 。 在 文件 分 配 表 中 , 每 个 文件 占有 簇 构成 一 个 链表 。 每 个 簇 等 于 两 个 扇 区 。 
文件 分 配 表 有 两 个 相同 的 拷贝 ， 每 个 占用 两 个 扇 区 。 

3) 文件 目录 区 

对 于 5.25 英寸 的 软磁盘 来 说 ， 文 件 目录 区 占据 逻辑 扇 区 05H 到 逻辑 扇 区 OBH， 共 7 个 
扇 区 ， 用 来 存放 磁盘 上 的 文件 目录 。 

4) 数据 区 

用 户 数据 区 占用 逻辑 扇 区 0CH 开始 之 后 的 所 有 扇 区 ， 用 来 存放 用 户 的 文件 和 数据 。 对 
于 根 目录 下 的 文件 名 和 子 目 录 ， 都 分 配 一 个 32 字 节 的 目录 登记 项 。 

2. 硬盘 分 区 


所 谓 分 区 ， 就 是 将 硬盘 分 为 一 个 或 多 个 大 小 不 等 的 区 域 ， 每 个 区 域 可 以 作为 一 个 独立 的 
逻辑 盘 ， 不 同 的 分 区 可 以 安装 不 同 的 操作 系统 ， 例 如 在 C 盘 安 装 Windows 系统 ， 而 在 DD 盘 
安装 UNIX，E 盘 安装 Linux 等 。 每 个 分 区 都 包含 四 个 部 分 : 引导 代码 、 文 件 分 配 表 、 文 件 
目录 区 和 用 户 数据 区 。 

3. 磁 介质 的 处 理 和 存储 


计算 机 用 户 用 来 存储 数据 的 最 常用 介质 就 是 磁 介 质 ， 如 何 妥 善 处 理 和 保存 这 些 存 储 了 重 
要 数据 信息 的 磁 介质 是 一 个 任何 时 候 都 不 能 忽视 的 问题 。 

1) 记录 分 类 

为 了 给 需要 重点 保护 的 数据 记录 提供 必要 的 保护 ， 同 时 对 某 些 不 重要 的 记录 不 多 余 的 保 
护 ， 有 必要 对 文件 记录 进行 分 类 。 大 致 来 说 ， 数 据 记录 可 以 分 为 关键 性 记录 、 重 要 记录 、 有 
用 记录 和 不 重要 记录 四 类 。 

2) 记录 复制 

对 于 上 述 的 关键 性 记录 ， 都 必须 复制 ， 复 制品 分 散 存 放 在 安全 地 点 。 

机 房 内 的 数据 是 系统 有 效 运行 需要 的 最 小 数据 ， 不 必要 的 数据 尽量 不 要 放 在 机 房 内 。 机 
房 外 的 记录 、 没 有 复制 过 的 关键 性 和 重要 记录 应 该 存放 在 防火 的 房间 内 ， 或 放 在 能 防火 、 防 
高 温 、 防 水 、 防 地 震 、 防 电磁 场 保险 的 柜子 里 。 

3) 磁带 库 、 磁 盘 

对 于 磁盘 和 磁带 库 的 访问 应 该 严格 限制 ， 只 有 管理 员 和 调度 人 员 方 可 访问 。 为 了 便于 查 
找 和 检索 ， 详 细 的 目录 清单 是 必需 的 ， 且 应 该 包含 以 下 信息 : 文件 所 有 者 、 卷 系列 号 、 文 件 
名 及 其 描述 、 作 业 或 项 目 编号 、 建 档 日 期 和 保留 期 限 。 从 外 部 借 来 的 资料 应 当 用 文件 所 有 者 、 
卷 系列 号 、 文 件 名 和 描述 、 接 收 日 期 和 归还 日 期 进行 归 类 。 

4) 文件 库 

文件 库 是 所 有 当前 系统 文件 、 程 序 和 操作 用 的 文件 和 源 程序 文件 的 存储 场所 ， 数 据 管 理 
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部 门 负责 扩充 和 检索 存在 这 些 文件 中 的 资料 。 
对 文件 库 的 访问 仅 限 于 数据 管理 部 门 的 人 员 。 文 件 和 数据 常 包含 非常 机 密 的 信息 ， 应 当 
妥善 保管 和 处 理 。 


3.3.3 ”信息 的 加 密 和 解密 


对 于 计算 机 的 磁盘 ， 可 以 使 用 各 种 加 密 方法 ， 使 得 某 个 磁盘 只 有 合法 用 户 才 知道 如 何 打 
开 与 使 用 。 一般 而 言 ,磁盘 信息 加 密 可 以 分 为 目录 项 修改 、 修 改 FAT 文件 分 配 表 、 修 改 人 磁盘 
的 其 他 信息 、 硬 盘 加 密 、 特 殊 格式 化 等 。 

1. 目录 项 修改 法 


1) 修改 文件 名 域 

文件 名 域 的 第 一 个 字 节 为 某 些 特 殊 值 时 ， 具 有 特殊 的 含义 。 如 : 00H 一 标识 目录 部 分 的 
结尾 ， 目 录 项 尚未 使 用 ，E5H-- 标 识 文件 已 经 被 删除 ， 以 下 的 目录 项 仍然 有 效 。 可 以 把 某 些 
文件 目录 项 的 第 一 个 字 节 改 成 00H 或 E5H， 这 样 用 DIR 命令 或 者 资源 管理 器 将 不 显示 这 些 
文件 。 

2) 改变 文件 属性 

用 Debug 命令 修改 文件 的 属性 项 ， 例 如 改 成 02 或 者 01， 文 件 属性 改 为 隐藏 或 只 读 。 

3) 修改 起 始 艇 号 

将 文件 起 始 簇 号 ， 即 文件 目录 项 的 第 1AH、1BH 字 节 ， 改 成 0000， 使 该 文件 无 法 找到 
关 同 5 

4) 其 他 方法 

e 子 目录 加 锁 。 在 根 目录 下 建立 一 个 子 目 录 ， 把 要 保护 的 文件 找 入 此 目录 ， 将 此 子 目 
录 的 起 始 簇 号 改 成 0000， 这 样子 目录 就 上 锁 了 。 
建立 循环 子 目录 。 在 某 个 目录 中 建立 下 一 级 的 子 目录 ， 修 改 子 目 录 的 数据 重 定向 到 
该 目录 本 身 ， 形 成 死 循 环 ， 使 非法 访问 者 无 法 进入 真正 的 文件 目录 。 
修改 文件 长 度 。 自 己 记忆 实际 的 文件 长 度 ， 然 后 修改 文件 长 度 达到 扰乱 非法 访问 者 
视听 的 目的 。 
e 目录 区 的 转移 。 将 目录 区 移 到 其 他 位 置 ， 需 要 使 用 时 再 移 回来 。 
e 文件 目录 区 加 密 。 对 目录 区 内 使 用 加 密 方法 ， 例 如 异 或 运算 ， 可 以 使 得 无 法 正常 访 


问 该 目录 。 
e 卷 标 加 密 。 对 卷 标 进行 加 密 算 法 ， 记 录 好 原来 的 卷 标 ， 不 知道 如 何 解 密 的 非法 用 户 
将 遇 到 错误 提示 。 


2. 修改 FAT 文件 分 配 表 


FAT 文件 分 配 表 当中 包含 很 多 重要 的 文件 信息 , 通过 修改 相关 的 信息 可 以 达到 隐藏 数据 
文件 的 目的 。 

e 改变 文件 在 FAT 表 中 的 链接 ， 他 人 就 无 法 正常 使 用 。 

e。 FAT 表 的 移动 ， 指 将 FAT 表 移 动 到 其 他 位 置 。 
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e 文件 簇 号 序列 加 密 。 
3. 修改 磁盘 的 其 他 信息 


“其 他 信息 ”包括 IDAM、DATAAM、ID、IDCRC、DATACRC 等 。 一 般 情况 下 ， 这 

些 信息 是 看 不 到 的 ， 因 为 读 取 扇 区 时 只 显示 DATA 的 内 容 。 我 们 可 以 通过 改变 参数 的 方法 ， 
如 原来 的 N=2， 亦 即 每 扇 区 包含 512 个 字 节 ， 把 它 改 成 N=3 或 者 N=-4， 每 个 肩 区 变 成 1024 
个 字 节 或 者 2048 个 字 节 ， 这 样 上 述 的 “其 他 信息 ”就 变 成 了 DATA 的 内 容 ， 就 可 以 被 看 到 
并 且 修 改 了 。 

1) 修改 AM 

AM 指 Address Mark( 地 址 标识 )， 说 明 后 面 跟 的 数据 段 是 什么 内 容 ， 如 IDAM 的 最 后 一 
个 字 节 是 OFEH， 意 思 就 是 标识 下 面 的 内 容 为 ID 标识。 如 果 把 FE 改 成 其 他 的 数值 ， 则 读 写 
扇 区 的 时 候 将 找 不 到 正确 的 扇 区 开始 地 址 。 

DATA AM 的 最 后 一 个 字 节 为 OFBH， 表 示 后 面 的 DATA 数据 有 效 。 如 果 是 0F8H， 则 
表示 后 面 的 数据 已 经 作废 ， 复 制 时 可 以 把 作废 的 数据 舍弃 。 

2) 隐 含 ID 

在 一 个 正常 格式 化 的 磁道 中 ， 在 某 个 数据 场 后 面 的 间 除 中 人 为 地 写 上 一 个 标识 ， 内 容 随 
意 ， 此 标识 可 以 当做 “通行 证 ”， 核 对 正确 则 允许 通过 ， 不 正确 则 显示 错误 提示 信息 。 

3) 修改 扇 区 的 IDCRC 和 DATACRC 

每 个 鹿 区 具有 各 自 独 立 的 ID 和 DATA 奇偶 校 验 数值 ,修改 原本 的 IDCRC 和 DATACRC， 
使 不 知道 还 原 方法 的 用 户 无 法 访问 磁盘 扇 区 。 

4. 硬盘 加 密 


1) 修改 活动 分 区 指示 符 

每 个 硬盘 都 有 一 张 分 区 表 ， 分 区 表 典 在 主 引导 记录 中 ， 用 来 记录 硬盘 分 区 的 情况 。 一 个 
分 区 对 应 分 区 表 中 的 一 个 子 项 ， 每 个 子 项 在 分 区 表 中 占据 16 个 字 节 的 空间 。 在 这 16 个 字 节 
空间 中 有 1 个 字 节 为 系统 指示 字 节 ， 它 的 作用 是 指示 该 分 区 是 否 可 用 。 

用 FDISK 程序 对 硬盘 进行 分 区 后 ， 所 有 分 区 的 系统 指示 均 不 为 0， 表 示 这 些 分 区 可 用 。 
如 果 将 某 个 分 区 的 指示 字 节 改 为 0， 机 器 重启 后 该 分 区 就 不 可 用 。 

根据 这 个 原理 , 可 以 通过 修改 分 区 表 中 系统 指示 字 节 的 值 , 来 达到 隐藏 硬盘 分 区 的 目的 。 

将 分 区 扇 区 中 的 活动 分 区 指示 符 改 为 00， 使 硬盘 不 能 自 举 。 也 可 以 将 系统 指示 符 改 为 
00、01、04H、80H 以 外 的 数值 。 

2) 修改 分 区 有 效 标识 

将 分 区 结束 标识 符 AAH 改 为 其 他 的 数值 ， 这 样 修改 后 就 不 能 用 硬盘 启动 ， 用 软盘 启动 
后 也 不 能 进入 硬盘 。 

3) 硬盘 加 锁 


在 授权 的 用 户 手中 。 硬 盘 加 密 技 术 主 要 采用 以 下 几 种 方法 。 
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e 为 主 引 导 扇 区 设置 密码 防 拷贝 。 
e 利用 文件 首 簇 号 防 拷贝 。 
。 便 盘 隐藏 与 还 原 技术 。 


5. 特殊 格式 化 


1) 扇 区 软 加 密 技术 

扇 区 软 标记 加 密 方法 很 多 ， 如 扇 区 间隙 加 密 法 、 扇 区 软 指纹 加 密 法 、 异 常 IDD 加 密 法 、 额 
外 扇 区 加 密 法 、 超 级 扇 区 加 密 法 、 扇 区 错乱 排序 法 、 未 格式 化 扇 区 法 和 扇 区 对 齐 技术 等 。 

(1) 增加 额外 扇 区 

IBM 个 人 计算 机 系列 及 其 兼容 机 上 所 使 用 的 5.25 英寸 双 面 密度 软盘 ， 每 面 40 个 磁道 ， 
每 道 9 个 扇 区 ， 每 个 扇 区 容量 为 512 字 节 。 在 逻辑 上 ， 一 个 磁道 包含 若干 个 扇 区 以 及 前 置 区 
和 后 置 区 (GAP4)。 前 置 区 和 后 置 区 都 是 为 了 稳定 电机 或 允许 电机 转速 稍 有 偏差 而 设计 的 。 

一 般 而 言 ， 前 置 区 长 度 是 固定 的 ， 为 32 个 字 节 ; 后 置 区 的 长 度 是 可 变 的 ， 根 据 电 机 转 
速 的 不 同 而 有 所 不 同 ， 一 般 有 数 百 字 节 左右 。 在 FM 制 下 ， 每 个 扇 区 中 不 仅 包含 数据 区 (512 
字 节 )， 还 包含 同步 电机 用 的 两 个 6 字 节 的 SYNC 字符 序列 、4 个 字 节 的 ID 地 址 标志 、1 个 
字 节 的 AMI、1 个 字 节 的 数据 标志 或 删除 数据 标志 、 两 个 2 字 节 的 CRCGD 域 的 CRC 和 数据 
区 的 CRC)、1 个 11 字 节 的 间隙 (GAP2) 和 1 个 42 字 节 的 间隙 (GAP3)。 因 此 一 个 标准 的 扇 区 
包含 数据 和 一 些 必须 的 标志 、 间 隙 ， 共 有 587 个 字 节 。 在 MFM 制 下 ， 一 个 标准 扇 区 需要 658 
个 字 节 。 如 果 我 们 要 将 9 个 扇 区 的 磁道 格式 化 成 10 个 扇 区 ， 就 必须 修改 磁盘 的 基数 表 ， 由 于 
至 少 需要 587 个 字 节 给 第 10 个 扁 区 使 用 , 因此 标准 的 9 个 扇 区 之 间 的 间隔 至 少 要 缩小 若干 个 
字 节 ， 以 空 出 来 大 于 每 个 扇 区 包含 的 字 节 数 的 空间 给 第 10 个 扇 区 。 也 就 是 : 将 每 道 的 扇 区 数 
1 09H 改 成 OAH， 遍 区 间 的 间隔 长 度 50H 改 为 OAH， 即 由 原来 的 80 个 字 节 减少 为 10 个 字 
节 ， 这 样 9 个 扇 区 之 间 空 余 出 来 的 70X9=630 个 字 节 供 第 10 个 扇 区 使 用 。 

(2) 超级 扇 区 

超级 扇 区 是 指 其 长 度 接 近 一 个 磁道 长 度 的 扇 区 (如 N=5， 扁 区 长 度 为 4096 字 节 )。 大 于 
1024 字 节 的 扇 区 在 写 操作 时 容易 出 现 问 题 , 用 普通 的 磁盘 控制 器 不 能 写 这 些 扇 区 ， 故 可 用 专 
用 设备 在 盘 上 写 入 一 个 超级 扇 区 达到 反 找 贝 的 目的 ， 但 可 以 在 程序 控制 下 读 出 此 超级 扇 区 。 

G) 扇 区 乱 序 排列 

磁盘 都 是 软 分 段 的 方法 规划 (格式 化 ) 出 来 的 。 所 谓 软 分 段 就 是 用 扇 区 识别 标志 来 存 取 磁 
盘 上 的 信息 ， 整 个 磁盘 只 有 一 个 索引 孔 : 这 种 磁盘 的 每 个 磁道 上 分 布 着 固定 数目 的 扇 区 ， 每 
个 遍 区 的 开始 部 分 是 扇 区 识别 标志 。 一 条 磁道 上 的 扇 区 从 小 到 大 按 序 排列 , 读 写 磁 道 扇 区 时 ， 
工具 磁头 号 、 磁 道 号 和 扇 区 号 决定 读 写 磁盘 上 的 哪 一 个 扇 区 。 

一 般 情 况 下 ， 磁 道 扇 区 号 的 排列 是 由 小 到 大 ， 从 01 排 到 09 的 。 乱 序 排列 是 指 扇 区 号 由 
大 到 小 排列 ， 或 跳跃 式 排列 ， 甚 至 用 大 数 排列 等 。 

其 格式 化 的 方法 与 增加 额外 扇 区 的 方法 类 似 ， 只 是 要 改变 信息 表 。 

(4) 未 格式 化 扇 区 

对 某 个 磁道 的 部 分 扇 区 不 做 格式 化 处 理 ， 如 对 某 个 磁道 只 格式 化 出 6 个 扇 区 。 
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(5) 异常 ID 加 密 

每 个 扇 区 的 ID 值 是 在 格式 化 时 写 入 的 ， 写 入 时 不 做 正确 性 校 验 ， 所 以 格式 化 时 写 入 的 
ID 值 可 以 为 任意 值 。 若 格式 化 时 写 入 的 ID 与 扇 区 实际 的 磁道 号 、 磁 头号 、 扁 区 号 不 一 致 ， 
就 称 为 ID 异常 ， 它 将 导致 格式 化 的 扇 区 不 能 正确 读 写 。 同 样 盘 上 加 密 的 文件 中 也 需要 一 个 
程序 来 判断 该 位 置 的 扇 区 是 否 为 异常 ID， 以 此 作为 判断 是 否 是 原 盘 的 依据 ， 以 防止 非法 拷贝 
稳 被 滥用 。 
由 于 格式 化 所 需 的 ID 参数 是 由 指针 ES:BX 指定 的 地 址 ， 以 磁道 号 T、 磁 头号 联 、 扇 区 
号 S 和 肩 区 长 度 N 四 个 字 节 为 一 组 依次 排列 的 ,改变 这 些 参数 的 顺序 ， 就 能 格式 化 出 特殊 的 
做 道 。 

2) 磁道 软 加 密 技术 

磁道 软 标记 加 密 方法 有 : 磁道 接 颖 加 密 、 额 外 磁道 加 密 、 宽 磁道 加 密 、 未 格式 化 磁道 加 
密 、 磁 道 间 距 不 规则 变化 加 密 和 螺 线 型 磁道 加 密 等 几 种 。 

(1) 磁道 的 扩展 技术 

一 般 的 磁盘 机 都 可 以 正常 读 写 44 个 磁道 , 所 以 在 原来 的 40 个 磁道 (0 一 27H 磁道 ) 之 外 还 
可 以 增加 几 个 磁道 。 将 一 些 运行 程序 写 入 增加 的 磁道 ， 做 成 原 盘 。 在 读 取 和 运行 时 候 ， 按 昭 
正常 的 方式 读 取 41 一 44 磁道 的 内 容 , 读 取 文 件 的 时 候 自然 会 有 一 个 反馈 信息 , 如 果 读 取 失 败 
或 者 错误 ， 说 明 读 取 的 盘 不 是 加 密 过 的 原 盘 。 

(2) 未 格式 化 磁道 

在 格式 化 磁道 时 ， 跳 过 某 个 或 某 些 磁道 ， 造 成 一 个 或 多 个 未 格式 化 的 空白 磁道 ， 使 被 加 
密 程 序 在 系统 下 能 正常 工作 ， 而 传统 的 拷贝 软件 则 无 法 正常 拷贝 ， 从 而 达到 加 密 的 目的 ， 这 
就 是 未 格式 化 磁道 法 的 加 密 原 理 。 使 用 加 密 程 序 时 ， 首 先 利 用 在 被 加 密 程序 中 的 一 段 特殊 程 
序 对 磁盘 进行 校 验 ， 如 果 发 现 某 一 个 (或 一 些 ) 特 定 的 磁道 为 未 格式 化 的 磁道 ， 则 磁盘 为 原 盘 ， 
否则 为 非法 拷贝 。 


3.3.4 ”硬盘 锁 


硬盘 锁 是 为 了 防止 硬盘 被 窃取 后 造成 信息 泄露 。 按 照 采 用 技术 的 不 同 ， 可 以 分 为 以 下 几 
种 类 别 。 
1. 硬盘 锁 分 类 


1) 热 键 式 便 盘 锁 

热 键 式 便 盘 锁 ， 顾 名 思 义 ， 就 是 将 硬盘 加 上 密码 键 保 护 ， 用 户 要 使 用 计算 机 之 前 必须 按 
下 设置 的 密码 键 方 可 顺利 进入 计算 机 。 这 个 程序 的 原理 很 简单 ， 只 要 在 原来 的 主 引导 扇 区 的 
代码 里 加 入 一 段 检查 密码 键 是 否 按 住 的 程序 进行 判断 即 可 。 

2) 密码 式 硬盘 锁 

密码 式 硬盘 锁 ， 顾 名 思 义 ， 就 是 将 硬盘 加 上 密码 保护 ， 用 户 使 用 计算 机 之 前 必须 输入 设 
置 的 密码 方 可 顺利 进入 硬盘 。 这 个 程序 也 相对 简单 ， 只 要 在 主 引导 扇 区 的 代码 内 添加 一 段 密 
码 校 验 的 程序 进行 判断 即 可 。 首 先 监听 键盘 输入 ， 等 待 用 户 输入 密码 ， 不 输入 或 者 输入 错误 
都 不 能 顺利 进入 系统 。 
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3) 硬盘 隐藏 程序 

硬盘 隐藏 程序 的 目的 ， 是 使 得 通过 软盘 或 光盘 启动 的 系统 不 能 识别 人 硬盘， 必须 使 用 该 硬 
盘 启动 才能 顺利 进入 系统 ， 并 对 硬盘 进行 读 写 操作 。 其 主要 原理 在 于 修改 硬盘 分 区 表 ， 在 使 
用 硬盘 启动 时 ， 由 于 改写 后 的 主 引导 扇 区 内 的 程序 会 将 硬盘 分 区 表 恢 复 ， 因 此 可 以 顺利 地 读 
写 硬 盘 ， 而 用 其 他 盘 启 动 系 统 时 因为 分 区 表示 恢复， 所 以 不 能 正常 使 用 硬盘 。 通 常 ， 使 用 异 
或 的 编码 方法 可 以 将 分 区 表 编码 。 

4) 隐藏 式 人 硬盘 锁 

在 了 解 了 上 述 的 密码 式 硬盘 锁 和 硬盘 隐藏 程序 后 ， 我 们 可 以 将 这 两 种 方法 的 核心 程序 合 
二 为 一 ， 成 为 一 个 具备 硬盘 隐藏 能 力 的 硬盘 锁 。 这 个 硬盘 锁 比 之 前 的 几 个 硬盘 锁 高 明 的 地 方 
在 于 它 利 用 了 使 硬盘 隐藏 的 技巧 ， 使 得 非 授 权 用 户 在 不 知情 的 情况 下 ， 因 为 不 知道 密码 而 无 
法 正常 访问 硬盘 ， 并 且 在 用 其 他 盘 启 动 的 时 候 也 无 法 进入 硬盘 进行 读 写 操作 ， 更 进一步 强化 
了 硬盘 锁 的 保护 功能 。 

5) 硬盘 密码 锁 

硬盘 锁 用 来 防止 未 经 授权 的 用 户 使 用 硬盘 ， 它 具有 以 下 的 特点 。 

e 启动 时 必须 输入 密码 ， 密 码 须 经 过 编码 加 密 。 

e 启动 后 硬盘 进入 写 保 护 状 态 ， 用 户 不 能 读 写 ， 用 热 键 输入 密码 后 解除 写 保护 状态 。 

e 具备 防 病毒 防疫 功能 ， 可 以 随时 撤除 或 改变 密码 而 不 对 硬盘 造成 任何 伤害 。 

e@ 可 以 将 硬盘 锁 使 用 在 自己 的 计算 机 上 并 将 用 户 分 为 不 同 的 等 级 。 

6) 区 域 写 保护 式 硬盘 锁 

区 域 写 保护 式 硬盘 锁 用 来 防止 未 经 许可 的 用 户 使 用 硬盘 ， 和 硬盘 密码 锁 不 同 的 是 ， 它 只 
针对 硬盘 的 部 分 区 域 做 写 保护 ， 而 且 在 启动 时 不 需要 输入 密码 。 

7) 写 保 护 卡 

保护 硬盘 的 男 一 种 方法 是 使 用 硬件 的 接口 卡 ， 与 前 面 介绍 的 软件 加 密 写 保护 的 方法 不 同 
的 是 , 硬件 板 卡 的 方式 是 将 密码 程序 和 写 保护 的 程序 都 写 入 固化 的 ROM BIOS 里 , 进一步 加 
强 了 安全 性 ， 使 得 这 部 分 程序 不 容易 被 修改 、 删 除 或 感染 病毒 。 计 算 机 在 启动 时 会 对 640KB 
核心 内 存 以 上 的 接口 卡 内 存 区 做 扫描 ， 当 发 现在 该 区 域内 存 有 AA、55H 这 样 的 十 六 进 制 数 
值 时 ， 将 以 远程 调用 的 方式 跳 转 到 指定 的 位 置 去 执行 该 位 置 的 程序 。 

8) 硬盘 锁 、 写 保护 卡 破 解 

一 般 破解 此 类 接口 卡 式 的 硬盘 写 保 护 或 数据 加 密 卡 的 基本 方式 就 是 通过 汇编 Debug 一 
步 步 进行 跟踪 ， 找 出 原始 的 中 断 NT 13H 驱动 器 的 进入 点 , 将 该 中 断 INT 13H 的 位 置 改 成 加 
密 前 初始 的 中 断 位置 。 

2. 硬盘 锁 编程 


1) 硬盘 及 主 引导 区 知识 

硬盘 的 主 引导 区 是 硬盘 的 物理 地 址 的 0 磁头 、0 柱 面 、1 扇 区 ， 大 小 为 512 字 节 ， 扁 区 
头 存放 了 一 个 引导 程序 ， 又 称 为 主 引导 扇 区 记录 (MBR)， 中 间 存 放 的 一 段 是 MBR 程序 检测 
出 错时 使 用 的 消息 字符 ， 前 面 的 446 个 字 节 也 可 以 完整 地 叫做 MBR， 然 后 是 大 小 为 64 字 节 
的 一 个 分 区 表 ， 一 共有 四 项 ， 每 项 16 个 字 节 ， 记 录 着 每 个 主 分 区 的 具体 信息 (包括 某 分 区 的 
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状态 、 分 区 的 位 置信 息 等 )。 主 引导 扇 区 的 最 后 两 个 字 节 的 内 容 是 固定 的 ,分 别 为 SSH_AAHL 
这 两 个 字 节 用 来 检测 硬盘 有 效 的 标志 位 ， 如 果 这 两 个 字 节 的 内 容 被 更 改 ， 那 么 系统 引导 时 将 
报告 找 不 到 有 效 分 区 表 。 

2) 开机 引导 过 程 

计算 机 开机 引导 ， 通 常 要 经 过 如 下 几 个 步骤。 

(1) 启动 电源 开关 。 

(2) BIOS 自 检 ， 起 始 内 存 地 址 为 OFFFF:0000， 检 测 各 种 硬件 设备 (包括 显卡 的 BIOS、 
内 存 等 )。 

(3) 将 硬盘 第 一 个 扇 区 (0 磁头 0 磁道 1 扇 区 ) 读 入 内 存 地 址 0000:7C00 处 。 

(4) 检查 内 存 地 址 0000:7DFE 处 是 否 等 于 0XAA55， 若 不 等 于 ， 则 转 去 尝试 其 他 启动 介 
质 ， 如 果 没有 其 他 启动 设备 ， 则 显示 相应 的 信息 。 

(5) 跳 转 到 0000:7C00 处 执行 MBR 中 的 程序 。 

(6) MBR 首先 将 自己 复制 到 0000:0600 处 ， 继 续 执行 。 

(7) 在 主 分 区 表 中 搜索 标志 为 活动 的 分 区 。 如 果 发 现 没 有 活动 分 区 或 有 不 止 一 个 活动 分 
区 ， 则 停止 。 

(8) 将 活动 分 区 的 第 一 个 扇 区 读 入 内 存 地 址 0000:7C00 处 。 

(9) 检查 0000:7DFE 是 否 等 于 0XAA55, 若 不 等 于 , 则 提示 “Missing Operating System ”， 
然后 停止 或 尝试 其 他 启动 盘 方 式 启动 。 

(10) 跳 转 到 0000:7C00 处 继续 执行 特定 系统 的 启动 程序 ， 装 入 操作 系统 。 

(11) 启动 操作 系统 。 

上 述 步骤 中 ， 前 5 步 由 BIOS 的 引导 程序 完成 ， 后 几 步 由 MBR 中 的 引导 程序 完成 。 

3) 硬盘 锁 原 理 

利用 BIOS 读 取 硬 盘 主 引导 扇 区 内 容 引 导 操 作 系统 的 机 制 ， 我 们 可 以 将 原先 的 主 引导 局 
区 的 内 容 保存 到 硬盘 的 一 个 隐蔽 扇 区 ， 再 将 硬盘 锁 程 序 写 入 硬盘 主 引导 扇 区 ， 在 机 器 启动 过 
悍 中 ， 被 奉 换 的 程序 被 读 入 内 存 ， 就 运行 了 硬 栓 锁 程 序 。 

一 般 此 类 程序 都 用 汇编 语言 编号， 等 待 用 户 键盘 输入 口令 ， 如 口令 正确 则 将 事先 备份 好 
的 原 主 引 导 扇 区 的 内 容 读 入 内 存 0000:7C00 处 ， 将 控制 权 交 给 原来 的 主 引 导 扁 区 内 的 引导 程 
序 ， 就 可 以 正常 启动 进入 操作 系统 ， 如 果 口 令 错 误 ， 则 循环 等 待 用 户 输入 口令 ， 错 误 达 到 一 
定 的 次 数 则 直接 死机 ， 或 者 进入 死 循环 一 直 要 求 口 令 。 

要 破解 此 类 硬盘 锁 ， 可 以 将 原来 的 主 引导 扇 区 的 内 容 写 回 硬盘 主 引导 扇 区 的 位 置 ， 并 履 
盖 ， 然 后 重启 机 器 。 当 然 这 样 做 的 前 提 是 具有 对 计算 机 的 完全 控制 权 。 

4) 程序 说 明 

一 般 而 言 ， 此 类 程序 可 以 分 为 两 个 部 分 。 

第 一 部 分 是 口令 识别 程序 ， 用 汇编 语言 编写 。 通 过 编译 、 链 接生 成 可 执行 的 二 进 制 代码 
程序 ， 主 要 任务 就 是 用 来 替代 原先 的 硬盘 主 引导 扇 区 引导 程序 ， 要 求 用 户 输入 正确 的 口令 。 

第 二 部 分 是 硬盘 锁 安装 程序 ， 该 程序 用 来 安装 硬盘 锁 ， 把 第 一 部 分 的 内 容 写 入 主 引 导言 
区 的 相应 位 置 ， 把 原先 的 主 引导 扇 区 的 引导 程序 备份 到 其 他 扇 区 。 
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程序 流程 图 如 图 3-1 所 示 。 


初始 化 DS、SS、 
ES 等 寄存 器 


< 
党 


清 屏 ， 等 待 用 户 输入 密码 


用 户 输入 密码 显示 提示 信息 
提示 用 户 重 新 输入 密码 
不 


本 


校 验 密码 是 否 正确 


密码 不 正确 


密码 是 否 正确 


密码 正确 
将 程序 本 身 移 至 0000:0600， 
准备 装 入 MBR 


是 
将 原先 保存 的 主 引 导 扇 区 内 容 
读 入 内 存 0000:7C00 处 


是 
程序 跳 转 到 0000:7C00 处 
开始 执行 正常 引导 程序 


END 
图 3-1 硬盘 锁 程 序 流程 图 


3.3.5 ”电磁 辐射 泄漏 


利用 计算 设备 的 电磁 波 辐射 窃取 信息 是 目前 国际 情报 机 关 窃 取 情 报信 息 的 重要 手段 之 
一 。 这 严重 威胁 着 计算 机 信息 的 安全 ， 严 重 威胁 着 国家 机 密 的 安全 。 世 界 上 一 些 发 达 国家 对 
此 问题 引起 了 高 度 的 重视 ， 投 入 了 大 量 的 人 力 和 财力 解决 。 

一 般 会 通过 两 种 途径 泄露 计算 机 信息 : 一 是 通过 辐射 问 外 泄露 ， 被 称 为 辐射 发 射 ， 二 是 
传导 泄露 ， 也 称 为 传导 发 射 。 前 者 指 的 是 计算 机 内 部 产生 的 电磁 辐射 ， 后 者 指 的 是 信息 经 过 
电源 线 、 信 号 线 、 地 线 等 向 外 传导 造成 的 泄露 。 通 常 ， 起 传导 作用 的 电源 线 、 地 线 等 同时 具 
有 传导 和 辐射 功能 。 我 们 可 以 采用 以 下 多 种 方法 对 计算 机 设备 的 信息 泄露 加 以 保护 。 


1. 采用 低 辐 射 设备 
这 是 防止 计算 机 设备 信息 泄露 的 根本 措施 。 
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2. 距离 保护 


设备 的 电磁 波 辐射 在 空间 传播 时 会 随 距离 衰减 ， 在 距 设备 一 定 的 距离 外 ， 设 备 信息 辐射 
场 强 会 变 得 微弱 ， 这 时 就 无 法 接收 到 辐射 信号 。 


3. 噪声 干扰 


一 是 将 一 台 能 够 产生 噪音 的 干扰 器 放 在 计算 机 设备 旁边 , 干扰 器 产生 的 噪声 与 计算 机 设 
备 产生 的 辐射 信息 一 起 向 外 辐射 ， 使 计算 机 设备 产生 的 辐射 不 易 被 区 分 。 干 扰 器 产生 的 电磁 
辐射 不 应 该 超过 EMI(Electro Magnetic Interference， 电 磁 干 扰 ) 标 准 。 

二 是 将 处 理 重要 信息 的 计算 机 设备 放 在 中 间 ， 四 周 放 置 处 理 一 般 信息 的 计算 机 设备 。 采 
用 这 样 的 方法 可 以 降低 辐射 信息 被 接收 的 可 能 性 。 

4. 屏蔽 


将 计算 机 设备 放 在 具有 一 定 屏蔽 效果 的 屏蔽 空间 或 屏蔽 箱 里 ， 降 低 外 部 的 信息 辐射 场 
强 ， 这 在 一 定 程度 上 也 可 以 降低 辐射 信息 泄露 的 可 能 性 。 


3.3.6 IC 卡 安全 


IC 卡 已 经 成 为 人 们 生活 和 学 习 当 中 随处 可 见 的 一 项 信息 加 密 技 术 , 这 一 节 我 们 着 重 讨论 
与 IC 卡 相 关 的 安全 问题 。 
1. IC 卡 概述 


IC 卡 (Integrated Circuit Card) 又 称 集 成 电路 卡 , 也 叫 智能 卡 , 它 集成 了 超大 规模 集成 电路 ， 
有 各 自 的 密码 算法 、 编 程 算 法 ， 可 以 有 定制 的 密 匙 ， 可 以 对 文件 加 密 ， 也 可 以 对 计算 机 加 密 ， 
还 可 以 对 应 用 软件 加 密 ， 防 止 被 改 。 

智能 卡 的 名 称 来 源 于 英文 单词 “Smart Card”。 它 将 一 个 集成 电路 芯片 镶 典 于 塑料 片 中 ， 
封装 成 卡片 的 形式 ， 其 外 形 与 覆盖 磁 条 的 磁卡 类 似 。IC 卡 的 概念 是 在 20 世纪 70 年 代 初 提出 
的 ， 法 国 的 布尔 公司 BULL) 于 1976 年 首先 创造 ， 将 这 项 技术 应 用 到 人 金融、 交通 、 医 疗 、 身 
份 证 等 多 个 行业 ， 并 将 微 电 子 技术 和 计算 机 技术 紧密 结合 在 一 起 。 

1) IC 卡 的 分 类 

根据 卡 中 所 灸 峰 的 集成 电路 的 不 同 ， 可 以 将 IC 卡 分 成 以 下 三 类 。 

e 存储 器 卡 ， 可 擦 除 的 可 编程 只 读 存储 器 (EEPROM)， 但 不 包含 CPU 中 央 处 理 芯 片 。 

e 逻辑 加 密 卡 ， 卡 中 的 集成 电路 具有 加 密 逻 辑 和 ZEPROM， 也 不 包含 CPU 芯片 。 

e CPU 卡 : 卡 中 的 集成 电路 包括 中 央 处 理 器 CPU、EEPROM、 随机 存储 器 RAMD 以 及 

固化 在 只 读 存 储 器 ROM 中 的 芯片 操作 系统 (Chip Operating System，COS)。 

2) IC 卡 的 特点 

与 其 他 的 数据 存储 和 加 密 设 备 相 比 ，IC 卡 具 有 以 下 几 个 特点 。 

e 体积 小 ， 重 量 轻 ， 抗 干扰 能 力 强 。 

e 便于 携带 ， 易 于 使 用 ， 方 便 保 管 。 
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e 安全 性 高 ， 加 密 IC 卡 本 身 具有 安全 密码 。 
e 可 靠 性 高 ， 防 磁 ， 防 静电 ， 抗 干扰 能 力 强 ， 可 靠 性 比 磁卡 高 ， 使 用 寿命 长 。 
e 综合 成 本 低 ， 更 加 可 靠 ， 造 价 便宜 ， 容 易 推 广 ， 维 护 方便 ， 对 网 络 要 求 不 高 。 
目前 ，IC 卡 家 族 中 档次 最 高 的 是 智能 IC 卡 ， 即 上 面 提 到 的 CPU 卡 。 这 一 类 卡 上 不 但 有 
存储 数据 的 存储 器 和 对 外 联络 的 通讯 接口 ， 还 带 有 有 具备 数据 处 理 能 力 的 微 处 理 器 ， 实 际 上 是 
一 个 卡 上 的 单 片 微机 系统 。 为 了 管理 这 一 系统 中 的 硬件 和 软件 资源 ， 卡 上 存储 有 进行 数据 读 
写 和 安全 管理 的 程序 ， 以 及 管理 这 些 程序 的 卡 上 操作 系统 ， 即 COS。 
COS 与 计算 机 上 常见 的 操作 系统 ， 如 DOS、Windows 等 有 很 大 的 不 同 ， 它 是 针对 IC 卡 
的 特点 而 设计 的 专用 操作 系统 。COS 由 于 其 上 IC 卡 存储 容量 和 微 处 理 器 性 能 而 与 常规 的 操 
作 系 统 有 很 大 的 不 同 ， 其 主要 功能 如 下 。 
e 控制 IC 卡 与 外 界 的 信息 交换 。 
e@ 管理 IC 卡 上 各 种 存储 器 以 及 存储 的 方式 。 
e 在 IC 卡 内 执行 来 自 IC 卡 读 写 器 的 各 种 操作 命令 ， 包 括 一 些 特殊 的 、 面 向 具体 应 用 
的 操作 以 及 动态 装载 和 外 载 。 
3) IC 卡 的 应 用 领域 
IC 卡 用 途 十 分 广泛 ， 主 要 应 用 领域 如 下 。 
e 人 金融。 世界 上 银行 发 行 的 信用 卡 绝 大 部 分 为 磁卡 ， 磁 卡 和 IC 卡 比较 ， 安 全 性 差 。 
e 电信 。 数 字 蜂 窝 电话 使 用 CPU 卡 存储 信息 和 识别 用 户 身份 ， 这 种 智能 卡通 常 被 称 为 
SIM 卡 。 
e 电子 钱包 。 专 门 针 对 小 额 支付 而 设计 的 ， 不 需要 电话 确认 、 签 名 和 密码 ， 就 可 以 支 
付 日 常 的 生活 开支 ， 如 食品 、 交 通 、 电 话 、 电 影 等 多 种 小 数额 支出 。 
e 政府 。 近 年 来 ， 工 商 、 税 务 、 公 安 、 海 关 、 人 事 等 部 门 也 开始 采用 智能 卡 技术 ， 提 


高 办 公 效率 。 
。 公用 事业 。 水 、 电 、 管 道 煤 气 、 有 线 电视 收费 已 有 不 少 成 功 的 应 用 智能 卡 实现 预收 
费 的 实例 。 


e 交通 。 交 通 领 域 的 特点 使 非 接触 式 智能 卡 获得 广泛 的 应 用 空间 。 
e 医疗 。 采 用 智能 卡 可 以 全 面 提高 医疗 诊断 的 效率 、 准 确 性 以 及 管理 水 平 。 
e 社团 、 机 构 内 部 管理 。 一 些 综合 性 的 应 用 ， 涉 及 的 单位 有 企业 、 政 府 机 构 、 机 关 、 
酒店 、 娱 乐 场所 、 旅 游 景 点 、 居 住 小 区 和 学 校 等 。 常 用 的 功能 有 内 部 计 费 支付 系统 、 
我 国电 子 信 息 产业 的 发 展 ， 使 得 IC 卡 在 行政 管理 、 公 用 事业 和 银行 业务 方面 得 到 了 广 
泛 的 应 用 。 目 前 我 国 已 经 成 为 世界 IC 卡 发 展 最 快 的 国家 之 一 , 各 类 IC 卡 的 使 用 量 达 到 两 亿 张 。 
2. 机 卡 分 离 式 数字 电视 IC 卡 


机 卡 分 离 的 数字 电视 是 我 国 现 阶段 的 数字 电视 方案 ， 由 机 项 盒 与 电视 机 组 成 ， 其 中 机 项 
盒 中 使 用 了 IC 卡 ， 可 以 进行 条 件 接收 。 条 件 接收 是 数字 电视 衍生 出 来 的 增值 业务 ， 如 视频 点 
播 VOD、 计 量 付 费 PPV、 软 件 下 载 、 游 戏 、 信 息 点 播 、 数 据 广 播 等 。 
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为 了 确保 这 些 新 兴业 务 的 实现 ， 需 要 使 用 条 件 接收 系统 (Conditional Access System， 
CAS)。 有 的 有 线 电 视 系统 中 的 CA 是 通过 加 密 与 授权 的 机 制 来 控制 信息 的 传送 和 接收 。 有 线 
电视 CA 系统 不 仅 可 以 控制 用 户 的 授权 ， 还 为 用 户 提 供 一 个 安全 的 通道 ， 使 非 授 权 者 不 能 算 
改 他 人 传输 的 信息 。 

在 客户 端 ， 可 以 通过 机 卡 分 离 的 数字 电视 机 机 顶 盒 完成 上 述 功能 。 机 卡 分 离 是 指 机 顶 盒 
与 IC 卡 的 分 离 。 

1) 机 卡 分 离 机 项 盒 的 硬件 系统 

目前 在 国际 上 分 离 技术 发 展 趋势 之 一 是 用 PCMCIA 卡 解决 问题 ， 实 现 机 卡 的 完全 分 离 。 

趋势 之 二 是 用 智能 卡 技术 实现 卡 和 机 身 的 分 离 。 在 技术 上 已 经 达到 工业 化 批量 生产 ， 经 
济 上 也 是 完全 可 行 的 一 个 方案 ， 基 于 智能 卡 的 机 卡 分 离 技术 将 是 一 个 发 展 趋势 。 


客户 端 应 用 软件 


中 间 件 和 4 灶 撑 平台 
专用 驱动 程序 


机 项 盒 硬件 平台 
图 3-2 ”数字 电视 机 机 项 盒 硬 件 系统 


如 图 3-2 所 示 , 机 卡 分 离 的 数字 电视 机 机 项 盒 的 硬件 系统 包括 机 卡 分 离 机 项 盒 便 件 平台 、 
专用 驱动 软件 、 和 嵌入 式 的 操作 系统 、 支 持 机 卡 分 离 的 中 间 插 件 及 支撑 平台 ， 以 及 各 种 典型 应 
用 方面 的 客户 端 应 用 软件 等 部 分 。 

2) 数字 有 线 电视 机 机 顶 盒 的 硬件 构造 

上 述 的 机 顶 盒 硬 件 ， 主 要 包括 5 个 部 分 ， 如 图 3-3 所 示 。 


调谐 器 信道 解 调 器 。 ” 解 复 用 模块 解 扰 模块 音 视频 解码 
信号 四 ve be ve 网 ve pe 中 视频 
二 | » 0 > | > | 所 
= 


本 
贡 
本 
可 
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图 3-3 ”机顶盒 的 硬件 平台 
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e 前 端 (包括 调谐 器 和 信道 解码 器 )。 

e 主 控制 器 (包括 RISC 中 央 处 理 器 、 存 储 器 SDRAM 或 FLASHD)。 

e。 解 复 用 模块 和 解 扰 模块 ， 完 成 CA 在 客户 端 使 用 时 解密 的 过 程 。 

e 条 件 接 收 智能 卡 模块 。 

e MPEG 音频 、 视 频 解码 模块 。 

3) 支持 CA 的 IC 卡 硬件 体系 结构 

在 机 顶 盒 的 硬件 平台 里 ， 支 持 CA 的 IC 智能 卡 的 体系 结构 如 图 3-4 所 示 。 


< EEP »« 
5 EE ROM bs 
了 =- MPU = 记 。 二 EAU 加 密 广 
地 一 | 微 处 理 器 一 芝 | 要 处 理 器 三 
IO 外 设 人 
习 : RoM“ 记 。 汪 RAM 并 
me no 灶 se“ 


图 3-4 支持 CA 的 IC 卡 硬 件 体系 结构 


此 类 IC 卡 的 主要 组 成 部 分 如 下 。 

e 微 处 理 器 (MPU) 负 责 系统 的 中 央 运 算 、 数 据 处 理 、 管 理 。 

e 加 密 运算 协 处 理 器 (CAU) 执 行 有 关 加 密 解密 运算 的 算法 。 

e 只 读 存储 器 ROM) 负 责 存储 操作 系统 的 程序 代码 。 

e 随机 存储 器 RAM) 负 责 工 作 过 程 中 临时 数据 的 存储 。 

e 电 擦 除 存 储 器 (EEPROMD) 负 责 应 用 程序 、 数 据 的 存储 。 

e 通讯 接口 负责 IO 外 设 与 卡 内 部 元 器 件 的 通讯 传输 。 

除 上 述 几 个 主要 部 分 之 外 ， 可 以 视 有 具体 情况 ， 加 入 一 些 保护 内 部 软 硬 件 的 安全 逻辑 ， 此 
部 分 可 以 为 硬件 也 可 以 是 软件 ， 由 各 开发 商 根据 需要 设计 时 定夺 。 


3.4” 突 发 应 急 计 划 


应 急 计划 一 般 由 应 急行 动 方案 、 资 源 备份 、 备 份 操作 计划 组 成 。 应 急 计 划 应 该 包括 操作 
系统 中 断 、 数 据 库 和 物理 设备 被 破坏 等 情况 的 应 急 措 施 。 应 急 计 划 是 重要 的 计算 机 信息 系统 
安全 防卫 措施 ， 它 可 以 被 作为 风险 分 析 的 辅助 性 手段 去 满足 特殊 部 门 的 安全 需求 。 

在 应 急 计 划 中 应 该 考虑 的 问题 通常 有 以 下 儿 点 。 
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e 紧急 行动 方案 。 紧 急行 动 方案 用 于 规范 出 现 突 发 事件 时 ， 应 首先 采取 的 紧急 处 理 措 
施 步骤 以 及 相关 联系 人 。 


e 资源 备份 。 对 于 各 种 重要 的 信息 资源 ， 必 须 保持 至 少 一 份 以 上 的 备份 。 建 议 将 重要 
的 数据 记录 放 到 远程 主机 或 数据 库 服务 器 中 。 

e 设备 备份 。 在 同一 个 现场 使 用 两 台 相 同 的 计算 机 ， 一 台 运 行 的 情况 下 ， 另 一 台 作 为 
备份 ， 备 份 机 上 应 备份 有 完全 相同 的 操作 系统 、 程 序 、 数 据 、 文 件 。 

e 备份 操作 计划 。 

e 人 恢复 计划 。 恢 复 计 划 是 指 在 设备 部 件 失效 、 毁 坏 或 数据 丢失 之 后 ， 对 计算 机 系统 进 
行 快速 恢复 的 实施 计划 。 通 常 恢 复 计 划 应 该 包括 数据 恢复 和 设备 恢复 两 个 方面 。 


本 章 小 结 


本 章 主要 介绍 了 计算 机 物理 安全 的 基本 知识 , 包括 : 环境 安全 、 计 算 机 机 房 安全 及 等 级 、 
计算 机 实体 设备 安全 、 磁 介质 安全 、 信 息 加 密 和 解密 、 硬 盘 锁 、 电 磁 辐 射 泄露 以 及 IC 卡 安全 
等 方面 的 内 容 。 重 点 介绍 了 计算 机 站 场地 安全 要 求 的 国家 标准 GB9361 一 1988， 信 息 加 密 解 
密 的 程序 流程 ， 以 及 硬盘 锁 的 技术 实现 和 IC 卡 应 用 方面 的 相关 内 容 。 希望 读者 通过 本 章 的 学 
习 能 够 掌握 基本 的 计算 机 物理 安全 知识 。 


课 后 练习 


一 、 填空 题 

1. 我 国 实行 的 计算 机 站 场地 安全 要 求 的 标准 中 将 机 房 的 安全 等 级 分 为 ( ) 修 
等 级 。 

2. 我 国 的 国家 标准 里 划分 的 安全 等 级 , 一 一 ( ) 级 的 安全 性 最 高 , ( ) 
级 的 安全 级 别 最 低 。 

3. 文件 名 域 的 第 一 个 字 节 为 某 些 特殊 值 时 ， 具 有 特殊 的 含义 。 当 它 的 值 为 ( ) 
时 ， 表 明文 件 已 经 被 删除 。 

4. 硬盘 锁 的 原理 是 利用 ( ) 引 导 操 作 系统 的 机 制 ， 将 原先 的 ( ) 保 存 
到 一 个 隐蔽 扇 区 ， 再 将 硬盘 锁 程 序 写 入 该 区 域 。 

5. IC 卡 的 全 称 是 ( ), 在 IC 卡 家 族 中 档次 最 高 的 是 ( ) 卡 ， 这 一 类 卡 
不 但 有 存储 数据 的 ( ) 和 对 外 联络 的 通讯 接口 ， 还 带 有 具备 数据 处 理 能 力 的 
( )。 

二 、 选择 题 


1. 在 下 述 的 安全 项 目 里 ， 按 照 我 国 的 国家 标准 ， 建 设 C 类 安全 等 级 的 计算 机 机 房 ， 被 
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要 求 的 项 目 是 (  )。 
A. 防火 B. 空调 C. 消防 报警 D. 防水 
2. 下 述 ( ， ) 不 属于 用 特殊 格式 化 法 对 扇 区 进行 软 加 密 的 技术 范围 。 
A. 扇 区 间隙 加 密 ”B. 软 指 纹 加 密 ”C. 超级 扇 区 加 密 D. 区 域 写 保护 
3. 下 述 ( 。“”) 不 属于 用 硬盘 锁 的 技术 范围 。 


A. 热 键 式 B. 隐藏 程序 C. 密码 锁 D. 区 域 写 保 护 
4. 下 述 对 硬盘 的 主 引导 区 的 描述 ， 正 确 的 是 ( ”)。 

A.512 字 节 B.0 柱 面 C.0 扇 区 D.0 磁头 
5. IC 卡 可 以 划分 的 类 别 为 (””)。 

A. 逻辑 加 密 卡 B. 信用 卡 C. 存储 器 卡 D.CPU 卡 
三 、 简 答 题 


1. 简 述 我 国 实行 的 计算 机 站 场地 安全 要 求 的 标准 所 划分 的 安全 等 级 及 其 主要 特点 。 
2. 简 述 计算 机 站 场地 安全 要 求 的 标准 对 机 房 的 选 址 要 求 ， 以 及 应 该 注意 的 事项 。 
3. 简 述 计算 机 硬件 物理 安全 可 以 采用 的 主要 方法 。 

4. 简 述 硬盘 加 锁 可 以 采用 的 技术 。 

5. 简 述 IC 卡 相 比 磁卡 所 具有 的 优点 。 


第 4 章 ”操作 系统 安全 基础 


计算 机 操作 系统 是 计算 机 系统 配置 的 最 重要 的 程序 软件 ， 在 整个 计算 机 系统 软件 中 处 于 
中 心地 位 。 操 作 系 统 设计 的 好 坏 ， 直 接 决 定 计 算 机 系统 的 性 能 和 计算 机 用 户 使 用 计算 机 的 方 
便 程度 和 安全 性 ， 操 作 系统 的 用 户 界 面 设计 直接 决定 了 该 系统 的 人 机 接口 友好 程度 。 

目前 个 人 计算 机 是 世界 上 使 用 最 多 的 电子 设备 , 个 人 计算 机 上 运行 的 操作 系统 主要 有 微 
软 (Mircosof 公 司 的 Windows 9x/ME、Windows XP/PE、Windows NT/2000、WindowsVista、 
Windows7 系列 。UNIX/Linux 作为 服务 器 操作 系统 平台 也 越 来 越 被 广泛 采用 。 由 于 设计 上 的 
目标 宗旨 不 同 ，Windows 9x/ME 等 本 身 就 不 是 为 了 网 络 应 用 设计 的 ， 甚 至 包括 为 网 络 应 用 设 
计 的 其 他 几 个 版 本 的 Windows， 如 Windows NT/2000/XP 等 ， 都 存在 不 少 的 系统 漏洞 ， 造 成 
了 对 用 户 计算 机 的 安全 威胁 ， 很 容易 被 一 些 带 有 不 良 企图 的 黑客 攻击 入 侵 。 就 连 非 Windows 
系列 的 UNIX/Linux 等 操作 系统 ， 也 不 能 幸免 于 难 。 因 此 ， 计 算 机 网 络 安全 技术 人 员 或 计算 
机 专业 的 高 校 学 生 ， 应 了 解 这 些 系统 的 漏洞 ， 加 强 安全 管理 ， 采 取 相 应 的 防范 措施 ， 以 保证 
系统 安全 、 抵 御 非 法 入 侵 的 攻击 。 

本 章 从 上 述 的 几 个 操作 系统 着 手 ， 讨 论 Windows 系列 操作 系统 以 及 UNIX/Linux 等 操作 
系统 的 安全 基础 、 系 统 安全 模型 、 管 理 、 安 全 漏洞 方面 的 问题 。 


本 章 重点 

e Windows 操作 系统 
e Linux 操作 系统 

e UNIX 系统 安全 基础 
e 操作 系统 漏洞 

e 操作 系统 入 侵 检 测 


4.1 Windows 操作 系统 


4.1.1 Windows 操作 系统 简介 


Windows 是 目前 在 个 人 计算 机 上 使 用 的 最 为 广泛 的 操作 系统 。 每 天 ， 全 世界 有 数 以 十 亿 
计 的 用 户 在 使 用 微软 公司 出 品 的 Windows 系列 操作 系统 。 其 中 Windows 9x 系列 尤为 值得 一 
提 ， 这 是 Windows 家 族 里 占据 了 绝 大 多 数 用 户 的 操作 系统 市 场 的 产品 ，Windows 9x 以 其 大 
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众 化 的 友好 界面 及 支持 的 众多 应 用 程序 赢得 了 广大 个 人 计算 机 用 户 的 青睐 。 与 此 相应 ， 从 
Windows 9x 开始 的 各 个 Windows 版 本 也 因此 成 为 了 黑客 对 普通 计算 机 用 户 攻击 的 集中 目标 。 
Windows NT 是 微软 公司 第 一 个 真正 意义 上 的 网 络 操作 系统 ， 它 已 经 由 NT 3.0、NT4.0 发 展 
到 了 NT 5.0， 即 俗称 的 Windows 2000， 并 逐步 占据 了 广大 的 网 络 操作 系统 市 场 。 之 后 推出 的 
Windows XP、Vista， 以 及 最 新 的 Windows 7， 进 一 步 稳 固 了 微软 在 个 人 计算 机 操作 系统 市 场 
上 的 霸主 地 位 。 截 止 到 笔者 动笔 之 日 ， 据 不 完全 统计 ，Windows 7 操作 系统 已 经 获得 了 全 球 
范围 内 的 几 亿 订 单 。 

Windows 操作 系统 在 具有 众多 优点 的 同时 ， 也 具有 十 分 明显 的 缺点 ， 如 稳定 性 和 安全 性 
欠 佳 。 非 网 络 操作 系统 系列 的 Windows 95/98 等 版 本 极 易 受到 黑客 的 攻击 和 病毒 的 侵袭 ， 一 
般 网 络 用 户 使 用 一 些 软件 工具 ， 就 可 以 轻而易举 地 让 Windows 9x 系统 蓝屏 或 者 死机 。 
Windows NT 在 使 用 了 与 Windows 9x 一 脉 相 承 的 用 户 界 面 和 友好 的 使 用 方法 的 前 提 下 , 加 强 
了 对 网 络 应 用 和 安全 性 的 处 理 ， 对 网 络 服务 功能 的 支持 更 为 完善 和 安全 ， 稳 定性 也 有 了 本 质 
的 提高 。 但 是 , 也 没有 彻底 消除 操作 系统 漏洞 对 计算 机 和 网 络 安全 带 来 的 隐患 。 因 此 在 业界 ， 
有 些 人 戏称 微软 的 程序 员 都 是 裁缝 工 折 ， 每 天 都 在 为 了 各 种 系统 漏洞 “ 打 补 丁 ”， 也 因此 而 
戏称 Windows 操作 系统 是 满 是 补丁 的 不 可 靠 的 操作 系统 。 

下 面 分 别针 对 Windows 95/98/ME、Windows NT/2000/XP 系统 进一步 介绍 它们 在 安全 方 
面 的 问题 。 

4.1.2 ”Windows 操作 系统 安全 体系 结构 


1. Windows 95/98/ME 


由 于 Windows 95/98/Me 本 身 就 不 是 为 网 络 应 用 设计 的 ， 因 此 它们 存在 许多 安全 性 方面 
的 问题 ,很 容易 被 非法 攻击 。 根 据 美国 计算 机 安全 中 心 NCSC) 公 布 的 可 信 计 算 机 系统 评价 准 
则 (TCSEC， 详 见 第 2 章 相关 章节 的 介绍 )，Windows 95/98/ME 等 系统 的 安全 等 级 只 能 达到 D 
级 ， 基 本 上 相当 于 未 加 安全 措施 的 个 人 计算 机 系统 。 

在 了 解 Windows 95/98/ME 系统 的 安全 机 制 的 基础 上 ， 可 以 通过 修改 注册 表 信 息 等 方法 
来 提高 它 的 安全 性 .本 节 将 以 Windows 98 为 例 简单 介绍 如 何 通过 修改 这 些 信息 增强 Windows 
95/98/ME 系统 安全 性 。 

1) Windows 98 登录 机 制 

Windows 98 系统 的 登录 方式 有 三 种 : Windows 登录 、Microsoft 网 络 用 户 登 录 和 Microsoft 
友好 登录 。Windows 登录 是 指 仅 登录 到 本 地 Windows、 不 访问 网 络 的 登录 方式 ， 如 果 以 前 保 
存 过 个 人 设置 , 登录 时 会 自动 恢复 .Microsoft 网 络 用 户 登录 是 指 登录 以 后 可 以 访问 网 络 资源 ， 
如 果 指 定 了 域 服务 器 ， 登 录 时 会 同时 进行 域 身份 验证 。Microsoft 友好 登录 是 指 登 录 时 提供 在 
本 机 登录 过 的 用 户 列 表 ， 供 用 户 选择 并 进行 验证 登录 ， 方 便 和 简化 了 用 户 操作 ， 同 样 在 登录 
以 后 就 可 以 访问 网 络 。 

上 述 的 三 种 方式 ， 只 有 Microsoft 网 络 用 户 登录 和 Microsoft 友好 登录 这 两 种 选项 ， 要 求 
Windows 98 系统 有 网 络 适 配器 时 才 选 择 。 以 上 三 种 登录 方式 各 有 特点 , 安全 级 别 也 各 不 相同 。 
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(1) Windows 登录 

这 是 Windows 刚 安装 完成 后 默认 的 登录 方式 ， 也 是 Windows 中 最 不 安全 的 登录 方式 ， 
Microsoft 公司 设计 的 Windows 登录 机 制 的 用 意 是 : 不 同 用 户 使 用 Windows 98 系统 时 ， 各 有 
一 个 自己 的 个 性 化 桌面 和 菜单 选项 ， 而 不 在 于 保护 系统 和 防止 非法 用 户 使 用 计算 机 。 所 以 ， 
在 Windows 98 启动 后 出 现 “ 欢 迎 使 用 Windows” 的 登录 对 话 框 时 ， 只 需要 单 击 “ 取 消 ” 按 
钮 ， 即 可 进入 系统 ， 如 图 4-1 所 示 。 


欢迎 使 用 Windowsl! 


多 


一 一 
广 一 


pee 
[ 
图 4-1 Windows 登录 
(2) Microsoft 网 络 用 户 登录 
要 以 此 种 方式 登录 ， 需 要 对 “控制 面板 ”中 的 网 络 属性 进行 修改 ， 在 “配置 ”选项 卡 中 


选择 “推荐 ”， 之 后 选择 “客户 ”， 然 后 设置 Microsoft 厂商 和 Microsoft 网 络 用 户 ， 如 图 4-2 
所 示 。 


图 4-2 添加 Windows 网 络 用 户 


然后 在 “ 主 网 络 登录 ”中 选择 “Windows 网 络 用 户 ”, 确定 后 重启 计算 机 即 可 ， 如 图 4-3 
所 示 。 
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图 4-3 选择 网 络 登录 方式 


不 过 进行 这 一 步骤 前 ， 务 必需 要 注意 的 是 : 计算 机 必须 接 入 某 个 Windows NT 网 络 ， 该 
服务 器 必须 正在 运行 ， 并 且 必 须 是 该 Windows NT 服务 器 上 的 一 个 合法 用 户 ， 然 后 在 出 现 登 
录 网 络 对 话 框 时 输入 在 服务 器 上 注册 过 的 用 户 名 、 密 码 ， 如 图 4-4 所 示 ， 最 后 单 击 “ 确 定 ” 
按钮 方 可 进入 Windows， 耕 则 会 被 拒 之 门 外 。 


图 4-4 ”IMicrosoft 网 络 用 户 登 录 


(3) Microsoft 友好 用 户 登 录 

要 以 此 种 方式 登录 ， 首 先 要 在 “控制 面板 ”中 对 网 络 属性 进行 修改 ， 在 “配置 ”选项 卡 
中 选择 “推荐 ”， 之 后 选择 “客户 ”， 然 后 选择 “Microsoft” 和 “Microsoft 友好 登录 ”， 如 
图 4-5 所 示 。 


图 4-5 添加 Microsoft 友好 登录 方式 
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之 后 在 主 网 络 登录 中 选择 “Windows 登录 ”或 者 “Microsoft 友好 登录 ”， 单 击 “ 确 定 ” 
按钮 后 重启 计算 机 。 即 可 看 到 开机 登录 窗口 列 出 的 该 计算 机 上 的 用 户 名 , 登录 时 先 选 择 用 户 ， 
如 图 4-6 所 示 。 


图 4-6 Microsoft 友好 登录 


然后 在 “密码 ”输入 框 中 输入 该 用 户 创 建 时 设置 的 密码 ， 单 击 “ 确 定 ” 按 钮 。 但 是 需要 
指出 的 是 ， 这 里 的 情况 和 Windows 登录 方式 类 似 ， 如 果 单 击 “ 取 消 ” 按 钮 ,也 可 以 进入 系统 。 
要 避免 这 样 的 毫 无 安全 保护 意义 的 登录 方式 ， 避 免 这 样 的 现象 发 生 ， 可 以 通过 修改 系统 注册 
表 来 实现 。 有 具体 做 法 见 下 文 关于 “利用 注册 表 提 高 Windows 95/98/ME 安全 性 ”的 介绍 ， 这 
是 一 种 相对 比较 安全 的 方法 。 

2) 利用 注册 表 提 高 Windows 95/98/ME 安全 性 

Windows 98 操作 系统 深 受 广大 用 户 的 喜爱 , 但 是 安全 性 方面 的 问题 则 使 这 个 系统 不 让 人 
放心 。 在 这 里 我 们 需要 指出 的 是 ， 如 果 熟 悉 了 这 一 个 系统 的 特性 以 及 安全 相关 的 机 制 ， 仍 可 
以 为 它 创 建 一 个 相对 安全 的 工作 环境 。 这 个 相对 安全 的 运行 环境 可 以 在 一 定 程度 上 防止 非法 
用 户 随意 登录 和 操纵 用 户 的 计算 机 ， 这 里 我 们 将 介绍 如 何 通过 修改 注册 表达 到 这 样 的 目的 。 

众所周知 ，Windows 98 的 注册 表 是 一 个 庞大 的 数据 库 ， 其 中 存储 了 应 用 程序 和 计算 机 系 
统 的 全 部 配置 信息 ， 是 Windows 98 系统 的 核心 内 容 之 一 。 它 存在 Windows 98 目录 下 的 
System.dat 文 件 里 ， 这 是 一 个 只 读 、 隐 藏 的 文件 ， 每 次 系统 启动 时 都 要 访问 它 ， 根 据 它 内 部 的 
设置 信息 来 加 载 各 种 服务 和 应 用 程序 。 所 以 ， 不 论 在 任何 时 候 ， 使 用 任何 工具 ， 对 注册 表 进 
行 修改 操作 之 前 ， 最 好 对 注册 表 进 行 备 份 ， 以 便 在 操作 系统 受到 意外 损坏 以 后 可 以 恢复 到 修 
改 前 的 状态 。 由 此 可 见 ， 它 对 整个 Windows 98 系统 的 安全 运行 起 着 十 分 重要 的 作用 。 

(1) 禁止 非法 用 户 登录 

前 面 我 们 介绍 了 有 关 Windows 98 的 三 种 登录 方式 。 其 中 在 “Microsoft 友好 登录 ”相关 
篇 幅 里 提 到 , Windows 98 在 启动 和 注销 后 , 会 要 求 用 户 输入 用 户 名 和 密码 , 但 是 只 要 单 击 “ 取 
消 ” 按 钮 ， 即 可 进入 系统 ， 并 不 能 阻止 非法 用 户 的 使 用 。 那 么 有 没有 办 法 让 这 种 毫 无 防范 措 
施 的 系统 阻止 非法 用 户 的 进入 呢 ? 答案 是 肯定 的 。 只 要 在 Windows 98 已 有 的 安全 机 制 的 基 
础 上 ， 添 加 启动 它 的 安全 功能 ， 就 可 以 防止 非法 用 户 的 登录 。 

首先 ， 如 上 一 节 介 绍 的 步骤 进行 操作 ， 将 登录 方式 改 为 “Microsoft 友好 登录 ”。 具 体 步 
又 为 : 打开 “控制 面板 ”， 双 击 “ 网 络 ”图 标 ， 出 现 对 话 框 之 后 ， 在 “网 络 ” 对 话 框 中 下 方 
选择 “ 主 网 络 登录 ”， 在 出 现 的 下 拉 列 表 中 选择 “Microsoft 友好 登录 ”， 然 后 单 击 “ 确 定 ” 


“74。 计算 机 网 络 安全 教程 


按钮 ， 如 图 4-7 所 示 。 


ID PCNET Family Ethernet Adapter (FCI-ISA) 
拨号 网 络 适配器 
TCP/TP -> AMD PCNET Family Ethernet Adapter 崩 


图 4-7 选择 “Microsoft 友好 登录 ” 


这 样 就 把 Microsoft 友好 登录 设置 成 系统 默认 的 登录 方式 ， 如 果 没 有 找到 这 个 登录 方式 ， 
说 明 没有 添加 该 方式 ， 请 参照 上 一 节 的 内 容 进行 添加 ， 如 图 4-5 所 示 。 在 “网 络 ” 对 话 框 中 ， 
打开 “配置 ”选项 卡 , 单 击 “ 添 加 ”按钮 , 双击 “客户 ”, 在 “厂商 ”列表 中 选择 “Microsoft”， 
然后 在 右边 的 列表 中 选择 “Microsoft 友好 登录 ”， 单 击 “确定 ”按钮 。 然 后 再 按照 图 4-7 所 
示 选 择 主 网 络 登录 方式 ， 完 成 后 单 击 “确定 ”按钮 就 完成 了 设置 。 

需要 注意 的 是 , 在 添加 这 种 客户 登录 的 时 候 有 可 能 需要 插入 Windows 安装 系统 光盘 , 请 
务必 保证 盘 在 手边 随时 备用 。 

接 下 来 ， 需 要 建立 专门 的 用 户 ， 目 的 是 方便 使 用 计算 机 的 用 户 设置 新 用 户 名 和 各 自 的 密 
码 ， 以 便于 保护 每 个 用 户 的 个 性 化 桌面 和 菜单 设置 。 具 体 方法 为 : 在 “控制 面板 ”中 ， 双 击 
“用 户 ” 图 标 ， 在 出 现 的 “用 户 设置 ”对 话 框 中 ， 单 击 “新 用 户 ” 按 钮 ， 给 每 个 授权 使 用 该 
计算 机 的 用 户 建立 独立 的 用 户 名 ， 如 图 4-8 所 示 。 


图 4-8 添加 新 用 户 


设置 一 个 默认 的 密码 ， 等 用 户 登 录 后 自己 修改 密码 ， 重 新 启动 系统 。 设 置 完 成 后 ， 无 论 
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何 时 ， 用 户 使 用 该 用 户 名 和 密码 登录 Windows 98 时 ， 都 将 得 到 自己 个 人 定制 的 桌面 图 标 、 
快捷 方式 、 背 景 图 片 等 个 性 化 的 界面 。 

最 后 ， 我 们 进入 最 主要 的 环节 : 修改 注册 表 。 为 了 安全 起 见 ， 需 要 事先 备份 注册 表 。 修 
改 注 册 表 的 步 又 如 下 。 

QD 打开 注册 表 编 辑 器 。 

选择 任务 栏 上 的 “开始 ”一 “运行 ”菜单 命令 ， 在 弹出 的 窗口 中 输入 “regedit”， 单 击 
“确定 ”按钮 ， 即 可 看 到 “注册 表 编 辑 器 ”窗口 。 


立 ] a be 和 Internet 资源 的 名 
打开 O: Eee 可 


取消 | 训 览 四 | 


图 4-9 打开 注 册 表 编辑 器 


@ 创建 一 个 新 的 参数 。 


< 注册 表 编 辑 器 = 上 口 | x| 
注册 表 B) 编辑 人 E) 查看 人 帮助 00 
日 - 忆 我 的 电脑 

团 HKEY_CLASSES_ROOT 

田 仿 | HKEY_CURRENT_VSER 

日- 国 HFEY_LOCAL NACIINE 


由 - 国 HKEY_CURRENT_CONFIG 
入 | HFKEY_DYN_DATA 


图 4-10 创建 一 个 新 的 DWORD 值 


在 注册 表 编 辑 器 中 ， 找 到 “HKEY MACHINE\Network\Logon”， 在 该 分 支 的 右边 窗口 
中 创建 一 个 DWORD 值 ， 名 为 “MustBeValidated”。 创 建 DWORD 值 的 方法 是 : 在 “注册 
表 编 辑 器 ”右边 的 窗口 空白 处 单 击 鼠 标 右键 , 出 现 “ 新 建 ” 菜 单 , 选择 其 中 的 “DWORD 值 ”， 
如 图 4-10 所 示 。 

@ 为 新 创建 的 参数 赋值 。 

将 该 参数 “MustBevalidated” 赋 值 为 1， 如 图 4-11 所 示 。 

经 过 这 样 修改 ， 在 用 户 启 动 Windows 98 之 后 ， 如 果 在 登录 对 话 框 中 单 击 “ 取 消 ”按钮 
试图 进入 系统 ， 系 统 将 无 法 显示 桌面 。 通 过 这 样 的 方式 ，Windows 98 可 以 拒绝 非法 用 户 的 登 
录 使 用 ， 只 有 合法 授权 的 计算 机 用 户 才能 输入 正确 的 用 户 名 和 密码 进入 系统 进行 使 用 。 
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-lolx| 
注册 表 爷 ) 编辑 下】 查看 玫 助 0 
日 - 马 我 的 电脑 数据 
入 | HKEY_CLASSES_ROOT i (未 设置 键 值 ) 
国 HEET_CURRENT_USER 00 00 00 o0 
日 国 HEET_ LOCAL_INACIHTIE ab]PrinaryProvider “Microsoft Network” 
国 config [ab]Usernane “THuane” 
国 Driver UserProfiles Ox00000001 (1) 
国 zam 辆 nstBeyalidated 0x00000000 (0) 
a lardware 
日 Network 
所 | Logon 
园 Security 
园 Software a | 
生 | Systen 
入] HKEY_VSERS 
人 HKEY_CURRENT_CONFIG 
| HKEY_DYN_DATA 


编辑 IWORD 值 


成 的 电脑 WEEY_LOCAL_NACIINE\Network\Logon 


图 4-11 给 新 添加 的 参数 赋值 


为 了 给 用 户 一 个 提示 ， 让 非法 用 户 不 必 白费 力气 ， 就 可 以 在 登录 窗口 中 添加 一 些 提示 信 
息 。 这 一 功能 可 以 通过 直接 编辑 系统 注册 表 来 实现 ， 具 体 步 又 为 : 运行 regeditexe， 打 开 “ 注 
册 表 编辑 器 ”, 选择 “HKEY LOCAL MACHINE\Software\Windows\CurrentVersion\WinLogon” 
(如 果 没 有 找到 , 就 先 创建 ) 分 支 , 在 其 右边 新 建 一 个 字符 串 值 , 命名 为 “LegalNoticeCaption”， 
然后 双击 ， 把 它 的 值 设 为 提示 信息 的 标题 ， 比 如 ，“ 提 示人 信息 ”; 再 新 建 一 个 字符 串 值 ， 改 
名 为 “legalNoticeText”， 然 后 双击 ， 把 它 的 值 设 为 提示 信息 的 内 容 ， 比 如 “非法 用 户 ， 请 联 
系 管理 员 获 取 合法 账号 ! ! ! ”， 如 图 4-12 所 示 。 这 样 ， 提 示 信 息 就 设置 好 了 ， 然 后 重新 启 
动 计算 机 ， 如 果 登 录 非 法 就 会 提示 如 图 4-13 所 示 的 信息 。 


注册 表 人 E)】 编辑 字 ) 查看 YY) 帮助 00 


SharedDL 


困 - 仿 | Shell Ex . “提示 信息 “ 

ShellSer ee “法 用 户 , 请 联系 管理 员 获 取 合 法 账号 111“ 
和 | ShallSer 

入] stillIma 

四 国 | Syndler 


SysDMl 

入] TasHlon 
田 - 仿 | Telephon 
入] Tine Zon 
全 | Uninstal 


| WebCheck 
田 Welcome 
轩 Windowsy 

和 Winlogon 
和 | Help 


生 TIL Help 局 
4 四 


图 4-12 添加 登录 提示 信息 图 4-13 ”非法 登录 


提示 信息 加 
A 非法 用 户 , 请 联系 管理 员 效 取 合法 账号 111 


按照 上 面 的 方法 设置 后 ， 还 有 一 个 问题 : 在 登录 Windows 98 系统 时 ， 虽 然 每 次 登录 都 
需要 密码 ， 但 是 上 次 登录 的 用 户 名 总 是 出 现在 登录 对 话 框 里 ， 因 此， 熟悉 该 用 户 的 非法 用 户 
根据 用 户 名 有 可 能 会 猜 中 密码 ， 尽 管 这 样 的 几率 很 小 ， 但 是 也 是 一 个 安全 隐患 ， 会 对 系统 的 
安全 造成 威胁 。 那 么 有 没有 办 法 让 Windows 98 启动 的 时 候 ， 要 求 用 户 登 录 的 界面 上 不 显示 
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之 前 登录 过 的 用 户 名 呢 ? 答案 是 肯定 的 。 具 体 方法 为 : 打开 “注册 表 编 辑 器 ”， 查 找 
HKEY LOCAL MACHINE\Software\Windows\CurrentVersion\WinLogon 分 支 ， 如 图 4-12 所 
示 ， 在 该 分 支 的 右边 窗口 中 新 建 一 个 名 字 为 “DontDisplayLastUserName” 的 DWORD 值 ， 双 
击 ， 修 改 它 的 值 为 1。 这 样 在 登录 的 对 话 框 中 就 不 会 出 现 上 次 登录 的 用 户 名 了 。 

(2) 隐藏 “控制 面板 ” 

“控制 面板 ”是 Windows 系统 的 控制 中 心 ， 在 控制 面板 中 可 以 对 设备 属性 、 文 件 系统 、 
安全 口令 等 很 多 系统 的 关键 内 容 进 行 修改 。 那 么 ， 如 何 防 范 系统 的 东西 被 随意 更 改 呢 ? 

首先 , 启动 “注册 表 编辑 器 ”, 打开 HKEY _ CURRENT USER\Software\ Microsfot\Windows\ 
CurrentVersion\Policies\System 分 支 , 在 该 分 支 的 右边 窗口 里 新 建 DWORD 值 “NoDispCPL”， 
将 它 的 值 修改 为 1， 如 图 4-14 所 示 ， 最 后 重新 启动 ， 即 可 隐藏 “控制 面板 ”。 


;， 注 册 表 编辑 器 有 二 上 gx 
注册 表 @) 编辑 代 ) 查看 QD 帮助 00 

国 Office 数据 

由 园 Shared Tools [a9] 鞭 认 ) 祭 设 置 键 值 ) 

四 | SystemCertificates 辆 eni spcPL 0x00000000 (0) 


由 - 国 SecondaryProf: 
入 Synener 


图 4-14 ”修改 注册 表 禁 止 使 用 控制 面板 


(3) 禁用 “注册 表 纲 辑 器 ”编辑 注册 表 

上 面 介绍 了 通过 修改 注册 表 可 以 禁止 “非法 用 户 登录 系统 ”， 禁 止 使 用 控制 面板 。 我 们 
又 会 遇 到 下 一 个 问题 ， 那 就 是 : 如 果 每 次 注册 表 信息 都 可 以 被 用 户 修改 ， 那 么 知道 这 个 系统 
安全 漏洞 的 用 户 可 以 通过 修改 注册 表 把 这 些 信息 改 回去 ， 又 可 以 使 非法 用 户 随意 登录 系统 。 
并 且 ， 注 册 表 信息 对 于 很 多 用 户 来 说 是 相当 复杂 和 危险 的 ， 尤 其 是 初学 者 。 为 了 安全 起 见 ， 
最 好 还 可 以 禁止 使 用 “注册 表 编 辑 器 ”来 修改 注册 表 信息 。 这 一 点 ， 在 公共 机 房 显得 尤为 重 
要 ， 因 为 一 不 小 心 系统 的 注册 表 就 会 被 一 个 无 知 的 用 户 破坏 ， 或 被 改 得 面目 全 非 ， 所 以 ， 禁 
止 随意 修改 注册 表 是 一 项 势 在 必 行 的 安全 措施 。 

禁用 “注册 表 编 辑 器 ”编辑 注册 表 的 具体 步骤 为 : 启动 “注册 表 编 辑 器 ”， 打 开 
HKEY CURRENT USER\Software\Microsfot\Windows\CurrentVersion\Policies\System( 如 打发 
现 Policies 下 面 没有 System 主键 ， 请 在 它 下 面 新 建 一 个 主键 ， 取 名 System)， 然 后 在 右边 的 
窗口 处 新 建 一 个 DWORD 值 ， 命 名 为 “DisableRegistryTools”， 把 它 赋 值 为 1， 如 图 4-15 所 
示 ， 这 样 修改 以 后 ， 不 仅 别人 无 法 运行 regedit.exe 来 编辑 注册 表 ， 自 己 也 不 例外 。 那 问题 又 
摆 在 面前 ， 如 果 要 恢复 对 注册 表 的 编辑 修改 功能 ， 应 该 如 何 操作 呢 ? 
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:注册 表 编辑 器 四 -lolx| 
注册 表明 】 编辑 候 】 查看 (WD) 关 助 加 
由 - 国 0ffice 称 数据 
由 - 轩 Shared Tools [as] 莱 认 ) 体 设 置 键 值 ) 
辆 FenispcPL 0x00000000 (0) 
辆 misatleRezistryTools Ox00000000 (0) 


图 4-15 修改 注册 表 禁 止 访问 注册 表 编 辑 器 


可 以 将 下 面 的 这 一 段 代 码 用 文本 编辑 器 编辑 保存 , 取 名 为 reg.reg, 然后 把 它 导 入 注册 表 ， 
重新 启动 计算 机 。 


REGEDIT4{HKEY CURRENT USER\Software\Microsfot\Windows\CurrentVersion\Policies\System} 
"DiableRegistryTools"=dword:00000000 


经 过 上 面 的 几 个 步 又， 我 们 对 注册 表 进 行 了 一 些 设置 和 改动 ， 对 Windows 98 系统 的 设 
置 进行 修改 之 后 ， 已 经 增强 了 它 的 安全 性 。 可 是 ， 对 于 熟悉 Windows 98 系统 安全 漏洞 的 人 
来 说 ， 这 些 还 远 远 不 够 。 众 所 周知 ， 所 有 与 用 户 相 关 的 文件 均 保存 在 Windows 目录 下 的 
“Profiles” 目 录 中 ， 一 个 用 户 对 应 一 个 Profiles 的 下 一 级 子 目录 ， 在 这 级 子 目 录 下 又 有 多 个 
下 级 子 目录 , 下 级 子 目 录 还 有 多 级 目录 : Desktop( 桌 面 设置 的 相关 内 容 )、NetHoot( 网 络 资源 )、 
Program(“ 开 始 ”菜单 中 的 “程序 ”选项 )、Recent(“ 开 始 ” 菜 单 中 “文档 ”中 的 所 有 文件 存 
放 在 内 )、Start Menu(“ 开 始 ” 菜 单 中 的 相关 项 目 )。 其 实 ， 在 Windows 98 目录 中 ， 还 可 以 找 
到 以 用 户 名 (扩展 名 为 pwl) 为 文件 的 密码 文件 。 如 果 将 它 删 除 ， 任 何人 都 可 以 轻松 地 进入 
Windows 98 系统 ， 这 就 意味 着 ， 前 面 所 做 的 防范 工作 全 部 都 报废 了 。 

前 面 我 们 提 到 ， 为 了 防止 非法 用 户 进入 Windows 98 系统 ， 单 击 “ 取 消 ”按钮 也 可 以 进 
入 系统 ， 在 注册 表 中 新 加 一 个 键 值 可 以 使 非法 用 户 无 法 登录 。 这 里 ， 还 有 男 一 种 方法 可 以 达 
到 同样 的 目的 。 

在 启动 Windows 98 时 , 按 F8 键 ,选择 SafeMode( 安 全 模式 ) 或 者 Command Prompt only( 命 
令 提示 模式 ， 即 我 们 常 说 的 DOS 模式 )， 用 户 就 可 以 进入 系统 ， 然 后 删除 系统 目录 下 扩展 名 
为 .pwl 的 文件 ， 重 新 启动 计算 机 ， 就 可 以 随心 所 欲 地 操纵 计算 机 了 。 

为 了 避免 以 上 灾难 的 发 生 ， 有 必要 做 好 以 下 的 防范 工作 。 

首先 ,用 记事 本 或 者 写字 板 打 开 Windows 目录 下 的 System.ini 文件 ,打开 “Password Lists” 
小 节 ， 如 图 4-16 所 示 。 如 果 已 经 进行 了 用 户 设置 ， 就 会 在 这 里 找到 所 有 用 户 密码 文件 (*.pwl) 
及 其 保存 的 名 称 和 路 径 。 根 据 这 些 信 息 对 密码 文件 名 及 其 路 径 进 行 修改 ， 也 就 等 于 隐藏 了 保 
存 密 码 的 文件 了 。 
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文件 下 ) ”编辑 下) 搜索 @G) 帮助 0 
ChunkSize=512 


[MSNP32] 


Password Lists 
XINTAI=C : \WINDOWSM\NINTATL .PWL 
WD DD 


[drivers32] 
msacm.lhacm=lhacm.acm 

UIDC .VDOM=vdowave -dru 
MSACH.imaadpcm=imaadp32 .acm 


MSACH.trspch=tssoft32.acm 
vidc .CuID=iccvid.d1l 
UIDC.IV31=ir32_32.d11 
UIDC-IU32=ir32_32-d]11 
uidc .MSUC=msvidc32.d11 
UIDC .HRLE=msrle32.d11 


图 4-16 修改 System.ini 中 关于 用 户 密码 的 部 分 


其 次 ， 我 们 可 以 通过 修改 MSDOS.SYS 文件 来 完成 ， 打开 MSDOS 文件 后 ， 在 该 文件 的 
[options] 小 节 中 加 入 以 下 几 行 。 

e “BootMulti=0”: 设置 系统 不 能 进行 多 重 引导 。 

e “BootGUI=1”: 在 启动 时 候 直接 进入 Windows 98 图 形 用 户 界面 。 

e “BootDelay=0”: 设置 在 启动 时 “Starting Windows 98...” 信 息 停留 的 时 间 为 0 秒 。 

e “BootKeys-0”: 设置 在 启动 过 程 中 的 F4、F5、F6、F8 功能 键 失效 。 

此 外 ,为 了 防止 用 户 从 软盘 或 光盘 启动 计算 机 ,在 CMOS 设置 中 , 将 启动 顺序 一 项 设置 
为 C only; 然后 给 CMOS 设置 程序 加 一 个 密码 。 此 时 ，Windows 98 系统 或 者 说 计算 机 已 经 
有 一 个 相对 安全 的 运行 环境 了 。 

另外 ， 对 于 禁止 非法 用 户 登录 Windows 98 系统 ， 前 文 主要 是 通过 修改 注册 表 来 实现 的 。 
在 这 里 我 们 需要 说 明 一 下 ， 在 Windows 98 系统 启动 光盘 里 有 一 个 叫 “ 策 略 编辑 器 ”的 应 用 
程序 ， 它 也 可 以 用 来 帮助 用 户 完 成 禁止 非法 用 户 登 录 系 统 等 许多 关于 安全 防范 方面 的 设置 ， 
但 是 这 个 程序 不 是 默认 安装 的 ， 用 户 如 果 需 要 ， 必 须 从 Windows 98 光盘 上 手动 安装 它 。 有 
兴趣 的 读者 可 以 系统 地 学 习 “Windows 98 系统 安全 策略 编辑 器 ”的 有 关 知 识 ， 在 此 就 不 再 袭 述 。 

2. Windows NT/2000/XP 的 安全 基础 


Windows NT/2000/XP 操作 系统 不 同 于 Windows 95/98/ME 操作 系统 , 在 其 设计 的 时 候 就 
已 经 把 网 络 连接 、 安 全 和 审核 报告 作为 系统 的 核心 功能 之 一 ， 并 在 后 期 不 断 更 新 修正 。 可 以 
说 ，Windows NT/2000XP 操作 系统 就 是 建立 在 一 套 完整 的 网 络 安全 机 制 之 上 的 操作 系统 。 
Windows NT/2000/XP 操作 系统 的 服务 器 对 于 网 络 而 言 , 其 安全 性 能 远 远 超过 了 以 往 的 DOS、 
Windows 95/98/ME 等 操作 系统 。 尽 管 Windows NT/2000/XP 操作 系统 的 安全 机 制 比较 全 面 ， 
但 Windows NT/2000/XP 操 作 系 统 在 网 络 安全 防范 上 仍 没有 做 到 尽善尽美 ,这 是 因为 Windows 
NT/2000/XP 操作 系统 本 身 也 存在 各 种 安全 漏洞 ， 并 不 解决 安全 问题 。 如 果 不 了 解 这 些 安 全 漏 
洞 , 不 采取 相应 的 安全 对 策 和 防范 措施 , 就 会 使 计算 机 系统 完全 暴露 在 黑客 的 入 侵 范围 之 内 ， 
随时 遭受 攻击 并 被 毁坏 。 因 此 ， 在 使 用 Windows NT/2000/XP 操作 系统 时 ， 一 定 要 了 解 系统 
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的 安全 模型 、 安 全 机 制 。 加 强 安 全 管理 ， 制 订 精 细 的 安全 策略 ， 才 能 降低 遭受 威胁 和 黑客 攻 
击 的 危险 。 本 节 将 以 Windows 2000 操作 系统 为 例 介绍 与 其 相关 的 内 容 。 

1) Windows 2000 安全 基础 概念 

在 Windows 2000 中 用 户 可 以 在 “活动 目录 用 户 和 计算 机 ”管理 器 中 实现 建立 用 户 账号 、 
计算 机 账号 、 组 、 安 全 策略 等 项 。 它 可 以 用 于 建立 或 编辑 网 络 中 的 用 户 、 计 算 机 、 组 、 组 织 
单位 、 域 、 域 控制 器 以 及 发 布 网 络 共享 资源 等 。 活 动 目录 用 户 和 计算 机 管理 器 ， 是 安装 在 域 
控制 器 上 的 目录 管理 工具 ， 用 户 可 以 在 Windows 2000 Professional 中 安装 它 的 管理 工具 ， 以 
便利 用 客户 机 对 活动 目录 进行 远程 管理 。 

(1) 用 户 账号 

用 户 账号 能 够 让 用 户 以 授权 的 身份 登录 到 计算 机 和 域 中 ， 访 问 其 中 的 资源 。 用 户 账号 也 
可 以 作为 某 些 软件 的 服务 账号 。Windows 2000 在 安装 时 候 提 供 了 以 下 两 个 预定 义 的 用 户 账号 。 

© Administrator 

Administrator 是 系统 管理 员 账 号 ， 拥 有 最 高 的 权限 ， 用 户 可 以 利用 它 来 管理 Windows 
2000 Server 的 资源 , 但 是 Administrator 并 不 是 自动 对 Server 中 的 所 有 目录 和 文件 都 拥有 访问 
权限 ， 管 理 员 账号 的 名 称 可 以 更 改 ， 但 是 不 可 以 删除 。 

® Guest 

Guest 是 为 临时 使 用 而 设立 的 客户 账号 ， 它 只 有 极 少 的 权限 ， 可 以 更 改名 称 ， 也 可 以 设 
置 密 码 、 修 改 头 像 等 ， 但 是 不 能 删除 ， 在 默认 状态 下 是 不 激活 状态 。 

(2) 计算 机 账号 

每 一 个 运行 Windows 2000 和 Windows NT 的 计算 机 ， 在 加 入 到 域 的 时 候 都 需要 一 个 计 
算 机 账号 ， 就 像 用 户 账号 一 样 ， 被 用 来 验证 和 审核 计算 机 的 登录 过 程 和 访问 域 的 资源 。 

(3) 组 

组 可 以 包含 用 户 、 联 系 人 、 计 算 机 和 其 他 组 的 Active Directory 或 本 机 对 象 。 使 用 组 可 以 
做 如 下 的 工作 。 

e 管理 用 户 和 计算 机 对 Active Directory 对 象 及 其 属性 、 网 络 共 享 位 置 、 文 件 、 目 录 、 

打印 机 队列 等 共享 资源 的 访问 。 

e 筛选 组 策略 设置 。 

e@ 创建 电子 邮件 GE-maiD 通 信 组 。 

通常 ， 组 有 两 种 类 型 : 安全 组 和 通信 组 。 

安全 组 用 于 将 用 户 、 计 算 机 和 其 他 组 收集 到 可 管理 的 单位 中 。 为 资源 (文件 共享 、 打 印 机 
等 ) 指 派 权限 时 ， 管 理 员 应 将 权限 指派 给 安全 组 而 非 个 别 用 户 。 权 限 可 以 一 次 分 配给 这 个 组 ， 
而 不 是 多 次 分 配给 单独 的 用 户 。 使 用 组 而 不 是 单独 的 用 户 可 以 简化 网 络 的 维护 和 管理 工作 。 

通信 组 只 能 用 做 电子 邮件 的 通信 组 ， 不 能 用 于 筛选 组 策略 管理 ， 通 信 组 无 安全 功能 。 

任何 时 候 ， 组 都 可 以 从 安全 组 转换 为 通信 组 ， 反 之 亦 然 ， 但 仅仅 限于 域 处 于 本 机 模式 的 
情况 ， 域 处 于 混合 模式 时 ， 不 能 转换 为 组 。 

(G) 域 

域 是 网 络 对 象 的 分 组 , 例如, 用户、 组 和 计算 机 。 域 中 所 有 的 对 象 都 存储 在 Active Directory 
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下 。Active Directory 可 以 常 驻 在 某 个 域 中 的 一 个 或 多 个 域 控制 器 下 。 每 个 域 都 是 一 个 安全 界 
限 ， 这 意味 着 安全 策略 和 设置 (例如 系统 管理 权限 、 安 全 策略 和 访问 控制 表 ) 不 能 跨越 不 同 的 
域 。 特 定 域 的 系统 管理 员 有 权限 设置 仅 属于 该 域 的 策略 。 由 于 每 个 域 都 是 一 个 安全 壁 又 ， 因 
此 不 同 的 系统 管理 员 可 以 在 单位 中 创建 和 管理 不 同 的 域 。 理 解 域 的 关键 是 : 安全 策略 可 以 贯 
穿 整 个 域 来 实现 。 
e@ 为 保证 数据 库 的 同步 ， 包 括 安全 信息 的 Active Directory 会 定期 复制 到 域 中 每 个 域 控 
制 器 。 

e@ Active Directory 中 的 对 象 可 以 按 组 织 单位 的 不 同 级 别 进行 组 织 和 管理 。 

e@ 可 转移 的 信任 关系 可 以 建立 在 域 树 中 的 域 之 间 。 

Windows NT 限制 了 目录 可 以 存储 的 用 户 账户 的 个 数 。 因 此 ， 为 了 适应 大 环境 的 需要 ， 
创建 和 管理 多 个 域 并 且 每 个 域 拥有 各 自 独 立 的 用 户 账户 已 经 成 为 大 势 所 趋 。 域 通常 使 用 以 下 
两 种 类 型 进行 组 织 : 主 域 (存储 用 户 和 组 的 账户 ) 和 资源 域 ( 存储 文件 、 打 印 机 和 应 用 程序 服 
务 等 )。 

这 种 多 域 的 计算 环境 被 称 为 主 域 模式 。 多 主 域 模式 意味 着 资源 需要 与 所 有 的 主 域 具 有 信 
任 关系 ， 这 些 信任 关系 允许 主 域 的 用 户 访问 资源 域 中 的 资源 。 

(5) 身份 验证 

身份 验证 是 系统 安全 性 的 一 个 基本 方面 ， 它 负责 确认 试图 登录 域 或 访问 网 络 资源 的 任何 
用 户 的 身份 。Windows 2000 身份 验证 允许 对 整个 网 络 资源 进行 单独 登记 。 采 用 单独 登记 的 方 
法 ， 用 户 可 以 使 用 单个 密码 或 智能 卡 一 次 登录 到 域 ， 然 后 通过 身份 验证 向 域 中 的 所 有 计算 机 
表明 身份 。 具 体 包 含 以 下 几 个 步骤 。 

e 在 Windows 2000 计算 环境 中 成 功 的 用 户 身 份 验证 包括 两 个 独立 的 过 程 。 

e 交互 式 登录 向 域 账户 或 本 地 计算 机 确定 用 户 的 身份 。 

e@ 网 络 身 份 验 证 对 该 用 户 试图 访问 的 任何 网 络 服务 确定 用 户 身 份 。 

e 在 用 户 试图 访问 安全 的 Web 服务 器 时 使 用 。 

(6) 授权 

Windows 2000 的 安全 性 建立 在 身份 验证 和 授权 之 上 。 

管理 员 可 以 指派 特定 权利 组 账户 或 单个 用 户 账户 。 

用 户 权 利 定义 了 本 级 别 上 的 功能 。 虽 然 用 户 权利 可 以 应 用 于 单个 的 用 户 账户 ,但 是 最 好 
是 在 组 账户 基础 上 管理 。 这 样 可 以 确保 作为 组 成 员 登 录 的 账户 将 自动 继承 该 组 的 相关 权限 。 
通过 对 组 而 不 是 对 单个 用 户 指派 用 户 权 利 ， 可 以 简化 用 户 账 户 管理 的 任务 。 当 组 中 的 用 户 都 
需要 相同 的 用 户 权 利 时 ， 用 户 可 以 一 次 对 该 组 指派 用 户 权利 ， 而 不 是 重复 地 对 每 个 单独 的 用 
户 账户 指派 相同 的 用 户 权利 。 

对 组 指派 的 用 户 权利 应 用 到 该 组 的 所 有 成 员 (在 它们 还 是 成 员 的 时 候 )。 如 果 用 户 是 多 个 
组 的 成 员 ， 则 用 户 权 利 是 累积 的 。 这 意味 着 一 个 用 户 允 许 拥有 多 组 权利 。 指 派 给 某 个 组 的 权 
利 只 有 在 特定 登录 权利 的 情况 下 才 会 与 指派 给 其 他 组 的 权利 发 生 冲 突 。 然 而 ， 指 派 给 某 个 组 
的 用 户 权 利通 常 不 会 与 指派 给 其 他 组 的 权利 冲突 。 要 删除 一 个 用 户 的 权利 ， 管 理 员 只 需 简单 
地 从 组 中 删除 该 用 户 即 可 。 在 这 种 情况 下 ， 用 户 不 再 拥有 指派 给 这 个 组 的 权利 。 
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用 户 权 利 有 两 种 类 型 : 特权 和 登录 权利 。 

e 特权 : 典型 范例 就 是 备份 文件 和 目录 的 权利 。 

e 登录 权利 : 典型 范例 就 是 登录 本 地 系统 的 权利 。 

(7) 审核 

安全 审核 是 Windows 2000 的 一 项 功能 ， 负 责 监 视 各 种 与 安全 性 有 关 的 事件 。 监 视 系统 
事件 对 于 检测 入 侵 者 以 及 危及 系统 数据 安全 性 的 尝试 是 非常 有 帮助 的 。 应 该 被 审核 的 最 普通 
的 事件 类 型 包括 : 

e 访问 对 象 ， 例 如 文件 和 文件 夹 ; 

e 用 户 和 组 账户 的 管理 ; 

e 用 户 登 录 以 及 从 系统 注销 时 。 

除了 审核 与 安全 性 有 关 的 事件 ，Windows 2000 还 生成 安全 日 志 , 提供 查看 日 志 中 所 报告 
的 安全 事件 的 方法 。 

2) Windows 2000 用 户 账号 的 管理 

(1) 添加 用 户 账号 

在 Windows 2000 Server 中 ， 一 个 用 户 账号 包含 了 用 户 的 名 称 、 密 码 、 所 属 组 、 个 人 信 
息 、 通 信 方 式 等 信息 ， 在 添加 一 个 用 户 账户 后 ， 它 被 自动 分 配 一 个 安全 标识 SD， 这 个 标识 
是 唯一 的 ， 即 使 账号 被 删除 ， 它 的 SID 仍然 保留 。 如 果 在 域 中 再 添加 一 个 相同 名 称 的 账号 ， 
它 将 被 分 配 一 个 新 的 SID， 在 域 中 利用 账号 的 SID 来 决定 用 户 的 权限 。 

添加 用 户 账号 的 步骤 如 下 。 

@ 双击 “我 的 电脑 ”中 的 “控制 面板 ”， 在 “控制 面板 ”中 双击 “管理 工具 ”， 启 动 
“Active Directory 用 户 和 计算 机 管理 器 ”， 单 击 “user 容器 ”会 看 到 在 安装 Active Directory 
时 自动 建立 的 用 户 账号 。 

@ 选择 “操作 ”一 “新 建 ” 一 “用 户 ”， 在 “新 建 对 象 -用 户 ” 对 话 框 中 输入 用 户 的 姓 
名 、 登 录 名 ， 其 中 第 2 个 登录 名 是 指 当 用 户 从 运行 Windows NT/98 等 老 版 本 的 操作 系统 的 计 
算 机 登录 网 络 所 使 用 的 用 户 名 ， 单 击 “ 下 一 步 ” 按 钮 ， 如 图 4-17 所 示 。 


新 建 对 象 - 用 户 A [x| 


图 4-17 “新 建 对 象 -用 户 ” 对 话 框 
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复 选 框 ， 以 便 让 用 户 在 第 一 次 登录 时 可 以 修改 密码 ， 如 图 4-18 所 示 。 
@ 完成 对 话 框 的 设置 后 ， 单 击 “ 完 成 ”按钮 ， 这 时 用 户 会 在 管理 器 中 看 到 新 添加 的 用 
户 ， 如 图 4-19 所 示 。 


等 Active Directory 用 户 和 计算 机 
| 志 控制 (QO 窗口 (WwW) 帮助 td) 
| 操作 多 ”查看 由 | 全 | 外 | 四 | XX 罗 回 | 多 


[4 创 陵 在 jijun net/Users 


密码 巴 ): rr | 
Fr 安全 组 -全 局 域 的 所 有 来 宾 

确认 密码 上) rr pe 

下 次 登录 时 须 更 改 密码 Fe 
着 人 (» 这 个 姐 中 的 成 员 可 上 
厂 用 户 不 能 更 改 密码 (8) De 
厂 密码 永 不 过 期 匿名 访问 Internet 人 
记 帐 F 已 信用 必 ) 启动 流程 之 外 的 应 月 


窗 钥 发 行 中 心服 务 
这 个 姐 中 的 服务 器 
架构 的 指定 系统 管 至 
这 个 用 户 帐户 被 终 闪 


md) XE WR | 
图 4-18 新建 用 户 密码 及 相关 选项 图 4-19 新 建 用 户 在 Active Directory 用 户 容器 里 


(2) 管理 用 户 账号 

在 用 户 属 性 对 话 框 中 的 “常规 ”选项 卡 中 ， 可 以 输入 有 关 该 用 户 的 描述 信息 ， 诸 如 : 办 
公 室 、 电 话 、 电 子 邮件 地 址 及 个 人 主页 的 网 址 ， 在 “地 址 ”选项 卡 中 输入 用 户 所 在 的 地 区 及 
通信 地 址 ， 在 “电话 /备注 ”选项 卡 中 可 以 输入 有 关 用 户 的 家 庭 电 话 、 寻 呼 机 、 移 动 电话 、 传 
真 、IP 电话 或 者 相关 的 备注 信息 。 

@ 设置 用 户 登 录 时 间 

在 “账户 ”选项 卡 中 ， 单 击 “ 登 录 时 间 ” 按 钮 ， 出 现 如 图 4-20 所 示 的 对 话 框 。 

IWAM_JHUANG-PC 的 登录 时 段 [xj 


人 
{ Ce 
0.2.4.6.8.10.12.14.16.18.20.22. 0 取消 


星期 四 


星期 日 至 星期 六 从 0 点 到 0 点 


图 4-20 用 户 登录 时 间 段 设置 


图 中 横 轴 的 每 个 方块 表示 1 小 时 ， 纵 轴 每 个 方块 表示 1 天 ， 右 边 蓝 色 的 方块 表示 该 时 间 
段 内 允许 用 户 使 用 ， 空 白 方块 表示 该 时 间 段 不 允许 用 户 使 用 。 默 认 的 是 所 有 时 间 段 都 允许 用 
户 使 用 。 系 统管 理 员 可 以 通过 设置 这 里 的 信息 ， 根 据 不 同 部 门 和 用 户 的 工作 需要 ， 设 置 不 同 
的 使 用 时 间 ， 以 加 强 计算 机 系统 的 安全 保障 。 对 于 非 工 作 时 间 ， 没 有 特殊 需要 的 用 户 和 用 户 
组 ， 不 允许 使 用 特定 的 计算 机 资源 ， 是 一 个 简单 有 效 的 安全 防范 措施 。 
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禁止 该 用 户 在 特定 时 间 段 登录 的 方法 是 : 在 该 用 户 登录 时 段 对 话 框 中 ， 选 择 需 要 禁止 
其 登录 的 时 间 段 ， 然 后 选择 右边 的 “拒绝 登录 ” 单 选 按钮 ， 之 后 确定 退出 即 可 。 需 要 指出 的 
是 ， 如 果 该 用 户 在 允许 其 登录 的 时 间 段 内 登录 到 网 络 中 ， 并 且 一 直 持续 到 超过 了 人 允许 登录 的 
时 间 ， 这 种 情况 下 ， 该 用 户 可 以 继续 连续 使 用 ， 但 是 不 允许 建立 新 的 连接 ， 也 就 是 说 ， 该 用 
户 注销 或 退出 后 ， 系 统 将 不 允许 其 再 次 登录 。 

@ 设置 用 户 登 录 的 计算 机 

在 账户 中 ， 单 击 “ 登 录 到 ”按钮 ， 出 现 如 图 4-21 所 示 的 对 话 框 。 

在 默认 情况 下 ， 用 户 可 以 从 所 有 的 客户 机 登录 ， 也 可 以 设置 让 用 户 在 指定 的 某 些 工作 站 
登录 ， 而 不 能 在 其 他 的 工作 站 登录 。 设 置 时 输入 计算 机 的 名 称 (NetBIOS 名 )， 然 后 单 击 “ 添 
加 ”按钮 即 可 。 需 要 注意 的 是 ， 这 些 设 置 对 于 非 Windows NT/2000 的 工作 站 是 无 效 的 ， 因 此 
用 户 可 以 不 受 这 个 设置 限制 ， 从 任何 一 台 DOS、Windows 客户 机 登录 到 网 络 中 。 


ee 
se 


此 用 户 可 以 登录 到 : 


个 下 列 计算 机 多 ) 
计算 机 名 四 ) : 


三 | 


图 4-21 “登录 工作 站 ”对 话 框 


@ 设置 账户 的 有 效 期 限 

在 账户 的 下 方 ， 用 户 可 以 选择 账户 的 使 用 期 限 ， 默 认 情况 下 账户 是 永久 有 效 的 ， 但 对 于 
临时 工作 人 员 来 说 ， 设 置 账户 的 有 效 期 限 是 非常 必要 的 。 在 有 效 期 过 后 ， 该 账户 会 被 自动 标 
记 为 失效 ， 默 认 的 期 限 是 一 个 月 ， 管 理 员 可 以 通过 手动 设置 修改 这 个 期 限 的 长 短 。 

3) Windows 2000 组 的 管理 

用 户 可 以 利用 将 用 户 加 入 到 组 中 的 方式 , 简化 网 络 的 管理 工作 。 当 用 户 对 组 设置 了 权限 ， 
该 组 的 所 有 用 户 就 具有 了 赋予 的 权限 , 大 大 简化 管理 员 对 单个 用 户 重复 设置 同样 权限 的 操作 ， 
提高 工作 效率 。 

(1) 添加 组 

有 具体 步骤 如 下 。 

Q@ 双击 “我 的 电脑 ”中 的 “控制 面板 ”， 在 “控制 面板 ”中 双击 “管理 工具 ”， 打 开 
“Active Directory 用 户 和 计算 机 管理 器 ”。 

@ 在 控制 台 树 中 ， 双 击 域 节点 。 

@ 右 击 要 添加 组 的 文件 夹 ， 指 向 “新 建 ”， 然 后 单 击 “组 ”。 
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@ 输入 新 组 的 名 称 ， 在 默认 情况 下 ， 用 户 输入 的 名 称 还 将 作为 新 组 的 Windows 2000 以 
前 的 版 本 名 称 ， 如 图 4-22 所 示 。 
[sa 组 四 


(#8 创 隘 在 :jijun net/Domain Controllers 


姐 名 名 )- 
no 
组 名 Windows 2000 以 前 版 本 ) @g) 
orkGroup 

姐 作 用 域 

个 本 地 域 Q) E 安全 式 8) 

人 全 局 @) 个 分 布 式 四 ) 

大 用 [iT 


图 4-22 “新 建 对 象 -组 ”对 话 框 


@ 单 击 所 需 的 “组 作用 域 ”。 

@ 单 击 所 需 的 “组 类 型 ”。 

注意 : 如 果 用 户 目 前 创建 的 组 所 属 的 域 处 于 混合 模式 ， 只 能 选择 具有 “本 地 域 ” 或 “全 
局 作用 域 ”的 安全 组 。 

(2) 指定 用 户 隶 属 的 组 

有 具体 步骤 如 下 : 

在 组 属性 对 话 框 中 打开 “成 员 属于 ”选项 卡 ， 如 图 4-23 所 示 ， 可 以 查看 到 当前 用 户 隶 属 
的 组 ， 如 果 要 将 用 户 添加 到 其 他 的 组 ,可 以 单 击 “添加” 按钮， 出现 如 图 4-24 所 示 的 对 话 框 ， 
在 上 方 的 窗 体 中 选择 需要 添加 的 组 (可 以 按 住 Shift 或 者 Ctrl 键 ， 利 用 鼠标 进行 多 选 )， 然 后 单 
击 “ 添 加 ”按钮 ， 所 选 的 组 会 出 现在 下 方 的 窗 体 中 ， 单 击 “ 确 定 ” 按 钮 即 可 。 

如 果 需 要 将 用 户 从 他 所 属 的 组 中 删除 , 可 以 在 成 员 * 隶 属于 ” 窗 体 中 选择 该 组 ， 单 击 “ 删 
除 ” 按 钮 。 注 意 : 用 户 账号 至 少 隶 属于 一 个 组 ， 该 组 被 称 为 主要 组 ， 这 个 主要 组 必须 是 一 个 
全 局 组 且 它 不 可 被 删除 。 


图 4-23 ”指定 用 户 属性 的 对 话 框 


。86 。 
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”. 和 
ry 各 容 如 


《< 键入 名 称 ， 用 分 号 隔 开 ; 或 者 从 列表 中 选择 >> 


G) 管理 组 


jijnun. net/Builtin 

jijun. net/Builtin 

3 jpn net/Builtin 
ui 


ij uiltin 
ph net/Builtin 


9) 


图 4-24 “选择 组 ”对 话 框 


将 组 转换 为 另 一 种 组 类 型 的 步骤 如 下 。 


@ 双击 “我 的 电脑 ”中 的 
“Active Directory 用 户 和 计算 机 管 


“控制 面板 ”， 在 “控制 面板 ”中 双击 “管理 工具 ”， 打 开 
村 理 器 ”。 


@ 在 控制 台 树 中 ， 双 击 域 节点 。 


@ 单 击 包含 该 组 的 文件 夹 。 


@ 在 详细 信息 窗 中 ， 右 击 组 ， 然 后 选择 “属性 ”命令 。 
@ 在 “常规 ”选项 卡 的 “组 类 型 ”中 ， 选 择 “ 分 布 式 ”或 者 “安全 式 ”。 
更 改组 作用 域 的 具体 步 又 如 下 。 


Q@ 双击 “我 的 电脑 ”中 的 
“Active Directory 用 户 和 计算 机 


“控制 面板 ”， 在 “控制 面板 ”中 双击 “管理 工具 ”， 打 开 
管理 器 ”。 


@ 在 控制 台 树 中 ， 双 击 域 节点 。 


@ 单 击 包含 该 组 的 文件 夹 。 


@ 在 详细 信息 窗 中 ， 右 击 组 ， 然 后 选择 “属性 ”命令 。 
@ 在 “常规 ”选项 卡 的 “组 作用 ”中 ， 选 择 “ 本 地 域 ”、“ 全 局 ”或 “通用 ”。 


删除 组 的 步骤 如 下 。 
Q 双击 “我 的 电脑 ”中 的 
“Active Directory 用 户 和 计算 机 


“控制 面板 ”， 在 “控制 面板 ”中 双击 “管理 工具 ”， 打 开 
管理 器 ”。 


@ 在 控制 台 树 中 ， 双 击 域 节点 。 


@ 单 击 包含 该 组 的 文件 夹 。 


@ 在 详细 信息 窗 中 ， 右 击 组 ， 然 后 选择 “删除 ”命令 。 
4.1.3 ”Windows 操作 系统 的 基本 安全 设置 


安全 设置 定义 了 系统 的 安全 


相关 操作 。 通过 使 用 Active Directory 中 的 组 策略 对 象 ， 系 统 
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管理 员 可 以 集中 应 用 保护 企业 系统 所 要 求 的 安全 级 别 。 
安全 设置 包括 安全 策略 (账户 和 本 地 策略 )、 访 问 控制 (服务 、 文 件 、 日 志 、 注 册 表 )、 事 件 
日 志 、 组 成 员 ( 受 限 的 组 )、 网 际 协议 QP) 的 安全 策略 和 公 钥 管理 。 
安全 模板 是 安全 设置 的 物理 表现 ,一 组 安全 设置 应 该 存储 于 一 个 文件 中 。Windows 2000 
包括 一 组 以 计算 机 的 角色 为 基础 的 安全 模板 ， 从 低 安 全 域 客户 端的 安全 设置 到 非常 安全 的 域 
控制 器 。 这 些 模板 可 用 于 创建 自 定义 安全 模板 ， 修 改 模板 或 者 作为 自 定义 安全 模板 的 基础 。 
安全 设置 工具 是 管理 员 用 来 进行 安全 设置 的 。 


e@ 管理 员 可 使 用 安全 模板 管理 单元 来 定义 和 使 用 安全 模板 。 
e 管理 员 可 使 用 安全 设置 和 分 析 管 理 单元 设置 分 析 本 地 的 安全 性 。 
e@ 管理 员 可 使 用 组 策略 管理 单元 设置 Active Directory 中 的 安全 性 。 


4.2 Windows NT/2000 安全 


根据 《可 信 计 算 机 系统 评价 准则 》(CITCSEC， 又 称 橘 皮 书 ， 详 细 内 容 参 见 第 2 章 的 相关 
内 容 ) 的 安全 等 级 划分 ，Windows NT/2000 操作 系统 具有 C2 级 安全 标准 ， 并 且 支 持 以 下 几 种 
安全 协议 。 

1. Windows NT Lan Manager(NTLM) 验 证 协议 


NTLM 协议 是 Windows NT 4.0 操作 系统 中 网 络 验 证 的 默认 协议 。NTLM 验证 的 缺点 是 
没有 连续 性 ， 速 度 较 慢 ， 不 能 跨 网 络 验 证 ， 不 允许 客户 验证 服务 器 身份 ， 或 者 一 个 服务 器 验 
证 另 一 个 服务 器 的 身份 .NTLM 验证 用 于 传递 网 络 身 份 验证 、 远 程 文件 访问 , 以 及 与 Windows 
NT 早期 版 本 建立 的 已 验证 远程 过 程 调用 (RPC) 连 接 。 

2. Kerberos V5 验证 协议 


Kerberos V5 协议 是 Windows 2000 中 网 络 验证 的 默认 协议 。Kerberos 协议 比 NTLM 更 加 
灵活 有 效 ， 并 且 更 加 安全 。Kerberos 身份 验证 协议 是 一 个 成 熟 的 行业 标准 ， 在 Windows 网 络 
身份 验证 方面 具有 很 多 优势 。 使 用 Kerberos 验证 , 服务 器 不 再 需要 连接 到 域 控制 器 。Kerberos 
验证 还 支持 客户 机 和 服务 器 的 相互 身份 验证 。 


3. DPA 分 布 式 密码 验证 协议 


这 是 某 些 规模 较 大 的 Intemet 成 员 组 织 ， 如 Microsoft MSN 或 CompuServe， 所 使 用 的 共 
享 秘密 身份 验证 协议 。 此 身份 验证 协议 是 Microsoft 商业 Intemet 系统 (MCIS) 服 务 的 一 部 分 ， 
其 用 户 只 需 一 套 账号 和 密码 ， 即 可 访问 Intemet 会 员 组 织 内 的 所 有 站 点 。 

4. 基于 公共 密 钥 的 协议 


在 此 协议 中 ， 每 个 参与 者 都 有 一 对 密 钥 ， 可 以 分 别 指定 为 公 钥 和 私 钥 ， 一 个 密 钥 加 密 的 
消息 只 有 男 一 个 密 钥 才能 解密 ， 而 从 一 个 密 钥 推断 不 出 另 一 个 。 公 钥 可 以 用 来 加 密 和 验证 签 
名 ; 私 钥 可 以 用 来 解密 和 数字 签名 。 每 个 人 都 可 以 公开 自己 的 公 钥 ， 以 供 他 人 向 自己 传输 信 
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息 时 加 密使 用 。 只 有 拥有 密 钥 的 本 人 才能 解密 ， 保 证 了 传输 过 程 中 的 保密 性 、 安 全 性 。 
4.2.1 Windows NT/2000 文件 系统 


NTFS 文件 系统 是 Microsoft 公司 开发 的 一 套 具 有 优异 性 能 的 文件 系统 , 相 比 早期 的 FAT 
和 FAT32， 功 能 要 强大 很 多 ， 它 提供 了 高 性 能 、 安 全 性 和 可 靠 性 ， 这 些 在 所 有 FAT 版 本 中 
都 没有 实现 的 高 级 功能 ， 是 一 种 高 级 文件 系统 。NTFS 可 以 通过 使 用 标准 的 事务 处 理 记 录 和 
还 原 技 术 来 保证 卷 的 一 致 性 ; 在 Windows 2000 和 Windows XP 中 ，NTFS 还 可 以 提供 诸如 文 
件 和 文件 夹 权 限 、 加 密 、 磁 盘 配 额 、 压 缩 等 高 级 功能 ， 同 时 它 还 包括 提供 了 Active Directory 
所 需 的 功能 以 及 其 他 重要 安全 性 能 ， 只 要 通过 选择 NTFS 作为 文件 系统 才能 使 用 诸如 Active 
Directory 和 基于 域 的 其 他 重要 安全 性 功能 ; 要 维护 文件 和 文件 夹 访问 控制 并 支持 有 限 个 账户 ， 
必须 使 用 NTFS， 而 如 果 使 用 FAT32， 所 有 用 户 都 将 具有 访问 权 ， 来 访问 您 的 硬盘 驱动 器 上 
的 所 有 文件 ， 而 不 考虑 其 账户 类 型 ， 例 如 管理 员 、 有 限制 的 或 者 标准 的 ， 此 外 ，NTFS 是 一 
种 适合 处 理 大 磁盘 的 文件 系统 。 表 4-1 比较 了 FAT、FAT32、NTFS 支持 的 磁盘 和 文件 大 小 。 


表 4-1 NTFS、FAT 和 FAT32 的 比较 
NTFS FAT32 


。 - 容量 从 512MB 到 2TB。 在 Windows XP 
推荐 最 小 容量 为 10MB， 也 可 使 用 | 容量 可 以 从 软件 大 小 、 
中 ， 只 能 格式 化 最 多 达 32GB 的 FAT32 


大 于 2TB 的 卷 。 无 法 在 软盘 使 用 | 到 4GB。 不 支持 域 
卷 。 不 支持 域 


文件 大 小 只 受 卷 的 容量 限制 文件 最 大 为 2GB 最 大 文件 长 度 为 4GB 


文件 系统 的 安全 性 方面 , Windows NT 和 Windows 2000 都 支持 保证 文件 和 文件 夹 安全 性 
的 访问 控制 列表 (Access Control List，ACL)。 
用 于 控制 账户 访问 文件 的 ACL， 如 表 4-2 所 示 。 


表 4-2 文件 控制 列表 
权 限 说 了 明 


户 不 可 访问 文件 


读 取 目 户 可 以 查看 文件 中 的 数据 


写 入 目 户 可 以 更 改 文件 中 的 数据 


删除 昌 户 可 以 删除 文件 
更 改 权限 目 户 可 以 更 改 文件 权限 
获取 所 有 权 日 户 可 以 取得 文件 所 有 权 ， 所 有 者 同时 拥有 该 文件 的 其 他 访问 权限 


月 
月 
月 
执行 用 户 可 以 运行 程序 文件 
月 
月 
月 


用 于 控制 账户 访问 文件 夹 的 ACL 如 表 4-3 所 示 。 


第 4 章 操作 系统 安全 基础 “89， 


表 4-3 文件 夹 访问 的 控制 列表 ACL 


文件 夹 ACL 说 明 
无 用 户 不 可 访问 文件 夹 
读 取 户 可 以 查看 文件 夹 中 的 文件 名 和 子 文件 夹 名 称 
写 入 户 可 以 向 文件 夹 添加 文件 和 子 文件 夹 
执行 户 可 以 更 改 文件 夹 的 属性 
删除 用 户 可 以 删除 文件 夹 或 子 文件 夹 
更 改 权 限 户 可 以 更 改 文件 夹 权 限 
获取 所 有 权 用 户 可 以 取得 文件 夹 所 有 权 ， 所 有 者 同时 拥有 该 文件 夹 的 其 他 访问 权限 


文件 夹 权限 包括 : 完全 控制 、 修 改 、 读 取 和 执行 ， 列 出 文件 夹 目 录 ， 读 取 和 写 入 。 这 些 
权限 的 每 一 项 具体 功能 都 是 由 表 4-4 列 出 和 定义 的 特殊 权限 所 构成 的 逻辑 组 成 。 


访问 权限 


通过 文件 夹 执行 
文件 


列 出 文件 夹 、 读 取 
数据 


读 取 属 性 
读 取 扩展 属性 
创建 文件 ， 写 入 


表 4-4 文件 夹 权限 及 其 定义 说 明 
说 ”了 明 

对 于 文件 夹 : 允许 或 拒绝 通过 文件 夹 访问 某 些 文件 或 文件 夹 , 即使 用 户 没 有 所 通过 的 
文件 夹 (只 适用 于 文件 夹 ) 的 访问 权限 。 只 有 当 “ 组 策略 ”管理 单元 中 没有 授予 组 或 用 
户 “ 忽 略 通过 检查 "用户 权限 时 ,“ 通 过 文件 夹 才 起 作用 。 默 认 情况 下 , 授予 Everyone 
组 “忽略 通过 检查 ”用 户 权限 
对 于 文件 : “执行 文件 ”允许 或 拒绝 运行 程序 文件 ( 仅 适 用 于 文件 ) 
设置 文件 夹 的 “通过 文件 夹 ” 权 限 不 会 自动 设置 该 文件 夹 中 所 有 文件 的 “执行 文件 ” 
权限 
“ 列 出 文件 夹 ” 允 许 或 拒绝 用 户 可 以 查看 文件 夹 中 的 文件 名 和 子 文件 夹 名 称 。“ 列 出 
文件 夹 ” 只 影响 该 文件 夹 的 内 容 ， 不 影响 是 否 列 出 正在 设置 其 权限 的 文件 夹 。 它 只 适 
用 于 文件 夹 
“ 读 取 数据 ”允许 或 拒绝 查看 文件 (只 适用 于 文件 ) 中 的 数据 
允许 或 拒绝 查看 文件 或 文件 夹 的 属性 ， 例 如 只 读 和 隐藏 。 属 性 由 NTFS 定义 
允许 或 拒绝 查看 文件 或 文件 夹 的 扩展 属性 ， 扩 展 属性 由 程序 定义 ， 可 能 因 程序 而 异 
“创建 文件 ”允许 或 拒绝 在 文件 夹 ( 仅 适用 于 文件 夹 ) 内 创建 文件 
“ 写 入 数据 ”允许 或 拒绝 更 改 文件 和 和 获 六 已 有 的 内 容 ( 适 用 于 文件 ) 


更 改 权限 户 可 以 更 改 文件 夹 权限 

市 是 “创建 文件 ”允许 或 拒绝 在 文件 夹 ( 仅 适用 于 文件 夹 ) 内 创建 文件 

添加 数据 “添加 数据 ”允许 或 拒绝 更 改 文件 的 末尾 ， 不 限制 更 改 、 删 除 或 覆盖 已 有 的 数据 ( 适 
于 文件 ) 
允许 或 拒绝 更 改 文件 或 文件 夹 的 属性 ， 例 如 只 读 和 隐藏 。 属 性 由 NTFS 定义 

写 入 属性 “ 写 入 属性 ”权限 没有 表示 可 以 创建 或 者 删除 文件 或 文件 夹 , 它 只 包括 更 改 文件 或 文 


件 夹 属性 的 权限 。 要 允许 或 拒绝 创建 或 删除 操作 ， 请 参阅 “创建 文件 ， 写 入 数据 ”、 
“创建 文件 夹 ， 追 加 数据 ”、“ 删 除 文件 夹 和 文件 ”以 及 “删除 ”等 相关 权限 内 容 
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( 续 表 ) 
访问 权限 说 有明 
允许 或 拒绝 更 改 文 件 或 文件 夹 的 扩展 属性 。 扩展 属性 由 程序 定义 , 可 能 因 程序 不 同 而 
有 所 差异 
写 入 扩展 属性 “ 写 入 扩展 属性 ”权限 不 表示 可 以 创建 或 者 删除 文件 或 文件 夹 , 它 只 包括 更 改 文件 或 


文件 夹 属性 的 权限 。 要 允许 或 拒绝 创建 或 删除 操作 ,请 参阅 “创建 文件 ， 写 入 数据 ”、 
“创建 文件 来， 追加 数据 ”、“ 删 除 子 文件 夹 和 文件 ”以 及 “删除 ”等 相关 权限 内 容 


删除 子 文件 夹 和 | 允许 或 拒绝 删除 子 文件 夹 和 文件 , 即使 尚未 授予 对 子 文件 夹 或 文件 的 “删除 ”权限 ( 适 
文件 用 于 文件 夹 ) 


删除 允许 或 拒绝 删除 文件 或 文件 来。 如 果 没 有 对 文件 或 文件 夹 的 “删除 ”权限 ,但 是 在 父 
文件 夹 中 已 被 授予 “删除 子 文件 夹 和 文件 ”， 那 么 仍然 可 以 删除 

读 取 权 限 允许 或 拒绝 读 取 文件 或 文件 夹 权限 ， 例 如 完全 控制 、 读 取 、 写 入 

更 改 权 限 允许 或 拒绝 更 改 文件 或 文件 夹 权 限 ， 例 如 完全 控制 、 读 取 、 写 入 

取得 所 有 权 允许 或 拒绝 取得 文件 或 文件 夹 的 所 有 权 。 文 件 或 文件 夹 的 所 有 者 始终 可 以 更 改 其 权 
限 ， 无 论 是 否 存在 任何 保护 该 文件 或 文件 夹 的 权限 

同步 允许 或 拒绝 不 同 的 线程 在 句柄 上 等 待 文件 或 文件 夹 , 并 与 男 一 个 可 能 向 它 发 信号 的 线 


程 同步 。 该 权限 只 应 用 于 多 线程 、 多 进程 的 程序 


表 4-5 为 对 文件 和 文件 夹 权 限 的 描述 ， 包 括 : 完全 控制 、 修 改 、 读 取 和 执行 、 列 出 文件 
来 目录 、 读 取 和 写 入 。 需 要 注意 的 是 ， 无 论 有 什么 权限 保护 文件 ， 被 准许 对 文件 夹 执 行 “ 完 
全 控制 ”的 组 或 用 户 都 可 以 删除 该 文件 夹 内 的 任何 文件 。 


表 4-5 文件 和 文件 夹 权 限 
特殊 权限 完全 控制 | 修改 | 读 取 和 执行 | 列 出 目录 | 读 取 | 写 入 
通过 文件 夹 执行 文件 x 
列 出 文件 夹 读 取 数 据 
读 取 属性 
读 取 扩 展 属性 
创建 文件 写 入 数据 


J 


x |x |Ix Ix 


Xx 
Xx 
Xx 


创建 文件 夹 添 加 数据 


写 入 属性 


写 入 扩展 属性 


删除 文件 夹 和 文件 


删除 


读 取 权 限 


更 改 权限 


取得 所 有 权 


x x 

x x 

x x x |x Ix 
x x x |X |X |x 


x |x Ix Ix Ix Ix |x Ix I|x I|x I|x |x |x Ix 


同步 
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4.2.2 Windows NT 安全 漏洞 及 解决 方案 


Windows NT 越 来 越 受 到 广大 计算 机 用 户 的 欢迎 。Intemet 上 采用 NT 平台 作为 服务 器 的 
站 点 越 来 越 多 , 同时 , 众多 的 企业 已 经 采用 NT 平台 作为 企业 内 部 计算 和 网 络 Intranet 的 解决 
方案 。Windows NT 系统 上 的 重大 安全 漏洞 ， 集 中 体现 在 两 个 方面 : NT 服务 器 和 工作 站 的 安 
全 漏洞 ， 关 于 浏览 器 和 NT 系统 的 严重 安全 漏洞 。 

有 一 些 知名 的 网 站 ， 如 addoil.net， 专 门 公布 操作 系统 的 安全 漏洞 ， 在 addoilnet 中 就 描 
述 了 几 十 个 关于 Windows NT 系统 的 安全 漏洞 名 称 、 解 释 以 及 降低 风险 的 一 些 建 议 。 目 前 ， 
时 不 时 都 有 不 断 公布 的 漏洞 被 发 现 的 报导 ， 以 及 微软 公司 发 布 的 漏洞 修补 补丁 。 因 此 ， 对 于 
Windows 用 户 来 说 ， 定 时 定期 下 载 安装 系统 漏洞 的 补丁 ， 是 一 个 保障 系统 安全 的 好 习惯 。 

其 实 ， 众 所 周知 的 事实 是 ， 养 成 定时 安装 漏洞 补丁 的 习惯 ， 不 是 一 个 根治 问题 的 办 法 ， 
更 加 有 效 的 解决 方案 是 : 建设 一 个 强大 的 防火 墙 ， 精 心 配置 它 ， 只 授权 给 可 信赖 的 主机 通过 
防火 墙 访问 外 部 网 络 资源 。 


4.2.3 ”Windows 2000 分 布 式 安全 协议 


在 Windows NT 4.0 中 ， 主 要 的 分 布 式 安全 协议 是 NTLM(Windows NT LAN Manager， 
Windwos NT 操作 系统 的 安全 保护 协议 )。 而 在 Windows 2000 中 ， 微 软 采用 了 一 个 新 的 安全 
系统 。 在 这 个 新 的 系统 中 ，Kerberos 是 默认 的 分 布 式 安全 协议 。 当 然 ，Windows 2000 秉承 了 
一 贯 的 向 下 兼容 的 做 法 ， 仍 然 支持 NITLM 以 及 SSL 协议 。 

1. Kerberos 


Kerberos 是 在 20 世纪 80 年 代 早 期 由 著名 的 麻 省 理工 学 院 MIT 创建 的 ，Windows 2000 
实现 的 是 标准 的 Kerberos 协议 。 在 Windows 2000 中 Kerberos 是 以 安全 服务 提供 者 (Security 
Service Provider, SSP) 的 方式 通过 安全 服务 提供 者 接口 (Security Service Provider Interface, SSPD 
来 实现 的 。 应 用 程序 可 以 直接 通过 SSPI 来 获取 Kerberos 的 服务 。 实 际 上 ，SSL 的 大 多 数 应 
用 程序 都 不 会 直接 利用 SSPL, 不 过 , 有 一 些 应 用 程序 是 直接 调用 SSPI 的 ,一 个 分 布 式 的 COM、 
DCOM 或 者 COM+ 利 用 DCOM 提供 的 安全 接口 。 实 际 上 , DCOM 是 利用 认证 过 的 远程 调用 
RPC 接口 ， 而 该 接口 是 直接 调用 SSPI 的 。 除 此 之 外 ， 大 多 数 协 议 把 SSPI 的 实现 细节 封装 起 
来 ， 因 此 用 户 没有 必要 担心 实现 分 布 式 安全 协议 的 具体 实现 细节 。 

Kerberos SSP 能 够 提供 三 种 安全 性 服务 : 认证 (进行 身份 验证 )、 数 据 完整 性 (保证 数据 在 
传输 过 程 中 不 被 算 改 )、 数 据 保密 性 (保证 数据 在 传输 过 程 中 不 被 获取 )。Kerberos 通过 加 密 来 
实现 这 些 服务 。Windows 2000 提供 公 钥 和 私 钥 加 密 ， 在 私 钥 加 密 中 ， 加 密 和 解密 的 密 钥 是 相 
同 的 。Kerberos 不 需要 用 户 (一 个 安全 实体 ) 用 一 个 特别 的 加 密 密 钥 ， 而 只 使 用 一 个 一 般 的 密 
码 。 在 Windows 2000 中 ， 密 码 不 会 直接 用 来 加 密 用 户 和 服务 器 之 间 传 送 的 数据 。 事 实 上 ， 
那些 基于 密码 的 密 钥 仅 在 登录 时 有 效 ， 其 他 用 来 加 密 在 网 络 上 传送 数据 的 密 钥 ， 都 是 动态 产 
生 的 。 因 此 ， 准 确 的 解释 是 ， 用 户 用 来 登录 的 密 钥 是 用 户 密 码 的 散 列 值 。 由 于 散 列 算法 是 单 
向 的 ， 因 此 ， 给 定 一 个 密 钥 的 散 列 值 是 无 法 获得 密码 的 。 在 Windows 2000 中 ， 每 个 用 户 都 
拥有 密码 ， 而 访问 服务 器 都 会 要 求 认 证 用 户 的 密码 。 域 中 任何 一 个 拥有 密码 的 实体 成 为 一 个 
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安全 实体 。 运 行 在 域 控制 器 上 的 Kerberos 服务 器 本 身 称 为 密 钥 分 发 中 心 KDC)。 域 控制 器 拥 
有 访问 这 个 域内 每 个 安全 实体 密码 的 散 列 值 的 权限 (这 些 信息 是 放 在 实体 活动 目录 中 的 , 也 放 
在 域 控制 器 上 )。 通 常 明 文 的 密码 并 不 放 在 这 个 目录 下 ， 仅 仅 是 密码 的 HASH 值 存放 在 这 里 。 
不 过 , 为 了 保持 密码 的 同步 , 一 个 管理 员 可 以 同时 在 这 个 目录 下 存放 用 户 的 明文 密码 和 散 列 值 。 

Kerberos 协议 允许 对 加 密 算法 进行 协商 ， 大 多 数 Kerberos 通过 DES 算法 来 实现 ， 考 虑 
到 兼容 性 的 问题 ，Windows 2000 采用 的 是 RC4 的 算法 ，RC4 算法 具有 比 DES 算法 更 快 、 更 
安全 的 优点 。 

2. 认证 


当 用 户 要 向 服务 器 验证 自己 的 身份 的 时 候 ， 这 个 用 户 必须 向 服务 器 提供 一 个 适当 的 
Ticket( 门 票 )， 类 似 去 电影 院 看 电影 需要 门票 一 样 ， 身 份 认证 需要 每 个 进门 的 人 出 示 一 张 有 效 
门票 方 可 放行 。 每 个 Ticket 允许 一 个 特定 的 用 户 向 一 个 特定 的 服务 器 证 实 自己 的 身份 。Ticket 
包括 加 密 部 分 和 未 加 密 部 分 ， 其 中 ， 未 加 密 部 分 通常 包括 ; 

e@ 这 个 Ticket 是 由 哪个 Windows 2000 的 域 发 出 来 ; 

@ 该 Ticket 定义 的 实体 名 字 。 

加 密 部 分 一 般 包括 ; 

e 各 种 标志 ; 

e 一 个 加 密 密 钥 ， 通 常 是 一 个 会 话 密 钥 ， 用 来 加 密 该 Ticket 中 指明 的 用 户 和 该 Ticket 
的 目的 服务 器 之 间 的 数据 ; 

加 密 后 的 用 户 实体 名 字 和 域名 ; 

Ticket 的 有 效 生 存 周期 ; 

用 户 系统 的 他 地 址 ; 

用 户 认证 数据 ， 通 常 是 服务 器 用 来 确认 该 用 户 的 存 取 权 限 ; 
其 他 部 分 。 

所 有 这 些 部 分 都 被 服务 器 方 的 密 钥 加 密 过 ， 无 论 是 用 户 还 是 攻击 者 都 无 法 修改 或 获取 
Ticket 的 加 密 部 分 ， 原 因 是 他 们 没有 服务 器 方 合 法 的 密 钥 。 每 个 Ticket 都 有 其 生存 周期 ， 也 
就 是 在 更 新 一 个 Ticket 之 前 的 这 段 间 隔 时 间 内 , 攻击 者 只 有 有 限 的 时 间 来 破译 之 前 的 Ticket。 
这 就 使 得 非法 入 侵 者 的 攻击 更 加 困难 , 而 且 一 个 被 盗用 的 Ticket 也 只 能 使 用 到 它 的 终止 时 间 ， 
时 间 到 期 就 要 重新 破译 新 的 Ticket。 在 用 户 登 录 以 后 ，Windows 2000 会 自动 更 新 用 户 的 
Ticket。 

当 一 个 用 户 要 向 一 个 服务 器 证 实 自己 的 身份 时 ， 必 须 获 得 该 服务 器 认可 的 一 张 Ticket， 
也 就 是 门票 。 而 Kerberos 就 是 用 来 获取 和 使 用 Ticket 的 协议 ， 通俗 的 解释 就 是 ， 沟 通 的 双方 
必须 使 用 一 种 双方 都 能 理解 的 语言 ， 以 及 双方 都 认可 的 方式 进行 沟通 ， 进 而 验证 对 方 身份 是 
否 合法 。 在 进一步 说 明 协 议 的 工作 原理 之 前 ， 我 们 只 简单 介绍 Kerberos 的 基本 原理 ， 详 细 的 
协议 说 明 在 后 续 的 章节 里 会 有 专门 的 介绍 。 

3. 数据 的 完整 性 和 保密 性 


以 上 介绍 的 是 Kerberos 提供 的 一 个 安全 性 服务 -身份 认证 。 需 要 指出 的 是 ，Kerberos 
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也 能 提供 数据 的 完整 性 和 保密 性 保障 。 

完整 性 : 为 了 保证 数据 在 传输 的 过 程 中 不 被 算 改 ， 发 送 方 的 Kerberos SSP 会 对 它 发 送 的 
每 个 报 文 计算 校 验 值 ， 并 将 该 值 和 报 文 一 起 发 送 。 这 个 校 验 值 是 数据 的 函数 值 ， 因 此 当 数 据 
发 生变 动 时 ， 它 的 校 验 值 也 会 相应 地 发 生 改 动 。 不 过 ， 如 果 仅 仅 是 提供 一 个 报 文 和 一 个 校 验 
值 ， 是 无 法 防止 攻击 者 算 改 数据 的 ， 因 为 攻击 者 不 仅 利 用 消息 本 身 来 计算 校 验 值 ， 还 包括 其 
他 的 信息 。 在 Windows 2000 中 ，Kerberos 用 的 校 验 值 算法 称 为 HMAC( 基 于 散 列 的 消息 认证 
码 )， 这 个 校 验 值 是 用 RC4 来 加 密 的 ， 尽 管 攻击 者 可 以 创建 一 个 校 验 值 ， 但 是 由 于 他 不 知道 
密 钥 ， 因 此 ， 报 文 的 接受 者 可 以 辨别 数据 的 真 伪 ， 从 而 达到 验证 的 目的 。 

保密 性 : 因为 客户 和 服务 器 共享 一 个 密 钥 K(c，s)， 每 一 端的 Kerberos SSP 都 用 这 个 密 
钥 进行 加 密 ， 由 于 攻击 者 无 法 更 改 网 络 上 加 密 的 数据 ， 因 此 数据 的 保密 性 理 含 着 数据 的 完整 
性 ， 两 者 相辅相成 。 


4. 代理 


假设 用 户 已 经 向 一 个 服务 器 S 进行 了 身份 验证 并 且 试 图 询问 服务 器 本 地 上 的 数据 ,例如 
一 个 文件 。 在 这 种 情况 下 ， 由 Windows 2000 来 实现 基于 文件 ACL 的 访问 控制 。 但 是 如 果 要 
访问 的 数据 不 在 本 地 ， 该 如 何 解 决 呢 ? 

举 个 简单 的 例子 ， 用 户 向 远程 的 服务 器 发 出 请 求 ， 这 时 ， 服 务 器 S 就 必须 向 另 一 个 服务 
器 工 发 出 请 求 ， 虽 然 服务 器 工 的 直接 用 户 是 服务 器 S， 但 实际 访问 的 是 用 户 ， 而 不 是 服务 器 
S。 为 了 安全 稳定 地 工作 ， 用 户 必 须 向 服务 器 S 说 明 自 己 的 身份 ， 并 且 人 允许 服务 器 S 代表 自 
己 向 远程 服务 器 发 出 请 求 。 

Kerberos 可 以 通过 代理 来 实现 。 如 果 一 个 客户 应 用 程序 请 求 服务 ， 一 个 用 户 的 Ticket 和 

它 的 相关 密 钥 被 发 送 到 另 一 个 服务 器 上 ， 像 所 有 的 Ticket 一 样 ， 都 是 被 加 密 过 的 ， 但 是 为 了 
确保 在 传输 过 程 中 密 钥 不 被 非法 攻击 者 截获 ， 这 个 密 钥 用 客户 和 服务 器 S 共享 的 会 话 密 钥 进 
行 加 密 。 

Kerberos 同时 也 允许 在 不 同 的 域 的 客户 和 服务 器 之 间 进 行 认证 ， 不 论 用 户 想 访问 哪个 服 
务 器 ， 都 必须 事先 获得 一 个 到 该 服务 器 的 Ticket。 

Windows 2000 中 ，Kerberos 支持 传递 的 信任 关系 ， 也 就 是 说 ， 如 果 一 个 Windows 2000 
的 域 信任 第 二 个 域 ， 而 第 二 个 域 又 信任 第 三 个 域 ， 根 据 传递 性 ， 第 一 个 域 会 自动 信任 第 三 个 
域 。 在 Windows 2000 中 ， 任 一 个 域 树 或 森林 中 ， 域 之 间 的 信任 关系 总 是 双向 的 ， 这 种 传递 
性 使 得 每 个 域 仅 需要 知道 在 域 层次 中 它 上 面 的 和 下 面 的 域 的 密码 。 


4.3 ”UNIX 系统 安全 基础 


UNIX 操作 系统 也 具有 C2 级 的 安全 级 别 ， 是 一 个 相对 安全 、 稳 定 的 操作 系统 。UNIX 操 
作 系统 的 安全 焦点 是 文件 许可 权 ， 其 中 包括 : 读 许可 权 、 写 许可 权 以 及 执行 许可 权 。 

读 许可 权 表 明 允 许 读 取 某 个 文件 或 目录 。 例如 用 cat 命令 读 具有 读 许 可 权 的 文件 的 内 容 ， 
也 可 以 拷贝 这 类 文件 ， 或 列 出 具有 读 许可 权 的 目录 。 
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写 许 可 权 标 明 人 允许 修改 写 入 一 个 文件 。 但 是 必须 注意 的 是 ， 可 以 修改 一 个 文件 的 权限 ， 
并 不 代表 一 定 可 以 删除 该 文件 或 对 该 文件 重新 命名 ， 只 有 对 该 文件 所 在 的 目录 有 写 许可 权 才 
能 进行 这 两 个 操作 。 当 用 户 具 有 对 一 个 目录 的 写 许可 权 后 ， 就 可 以 在 该 目录 中 建立 一 个 新 的 
文件 ， 或 者 删除 、 重 命名 该 目录 中 的 文件 。 

执行 许可 权 表 明 人 允许 用 户 执行 该 文件 。 对 文件 而 言 , 表明 拥有 此 权限 者 可 以 执行 该 文件 。 
如 果 该 文件 不 是 可 执行 的 文件 ， 执 行 许可 权 的 授权 是 没有 实际 意义 的 。 以 目录 而 言 ， 拥 有 对 
目录 的 执行 许可 权 ， 是 指 允 许 打开 该 目录 中 的 文件 ， 并 且 可 以 用 cd 命令 进入 该 目录 。 


4.3.1 UNIX 操作 系统 安全 基础 


1. 口令 安全 


UNIX 系统 中 的 /etc/passwd 文件 含有 全 部 系统 需要 的 关于 每 个 用 户 的 密码 信息 ， 加 密 后 
的 口令 也 可 能 存 于 /etc/shadow 中 。 

/etc/passwd 中 包含 有 用 户 的 登录 名 、 经 过 加 密 的 口令 、 用 户 名 、 用 户 组 名 、 用 户 注释 、 
用 户主 目录 和 所 有 用 户 的 shell 程序 。 其 中 用 户 号 UID 和 用 户 组 号 GID 用 于 UNIX 系统 唯一 
标识 用 户 和 用 户 组 以 及 用 户 的 访问 权限 。 

/etc/passwd 中 存放 的 加 密 的 口令 , 用 于 在 用 户 登 录 时 候 经 计算 机 校 验 , 符合 则 允许 登录 ， 
否则 将 拒绝 用 户 登 录 。 用 户 可 以 用 password 命令 自行 修改 自己 的 口令 ， 而 不 能 直接 修改 
/etc/passwd 中 的 口令 部 分 的 信息 。 

一 个 保密 性 好 的 口令 , 至 少 应 当 包 含 6 个 字符 长 度 , 一 般 建 议 不 要 取 个 人 信息 , 如 生日 、 
名 字 、 反 向 拼写 的 字母 或 者 有 些 人 能 记 住 的 有 特殊 意义 的 符号 和 数字 ， 普 通 的 英语 单词 也 不 
建议 采用 , 因为 可 以 用 字典 攻击 法 穷 举 所 有 的 单词 进行 破解 。 口令 中 最 好 有 一 些 非 字符 类 的 ， 
例如 ， 数 字 、 标 点 符号 、 控 制 字 符 等 。 最 重要 的 ， 也 是 必须 要 记 住 的 一 点 ， 是 密码 要 容易 被 
用 户 自己 记忆 ， 不 要 写 在 纸 上 或 者 计算 机 的 文件 里 ， 以 免 被 他 人 非法 访问 之 后 窃取 。 建 议 将 
两 个 不 相关 的 词 用 一 个 数字 或 者 控制 字符 连接 起 来 ， 截 断 为 8 个 字符 作为 口令 。 当 然 ， 如 果 
用 户 能 很 容易 地 记 住 8 个 杂乱 无 章 的 乱码 则 最 好 。 

不 应 使 用 同一 个 口令 在 不 同 的 机 器 中 登录 ,特别 是 在 不 同安 全 级 别 的 计算 机 上 使 用 同一 
个 口令 ， 很 容易 使 整体 的 系统 受到 威胁 。 用 户 应 定期 修改 口令 ， 至 少 应 6 个 月 更 改 一 次 ， 系 
统管 理 员 可 以 强制 要 求 用 户 定 期 修改 自己 的 口令 。 为 了 防止 眼 明 手 快 的 人 窃取 口令 ， 在 输入 
口令 时 候 应 该 确认 无 外 人 在 场 。 

2. 文件 许可 权 


文件 属性 决定 了 文件 被 访问 的 权限 ， 也 就 是 规定 了 什么 用 户 能 存 取 或 者 执行 该 文件 。 用 
-可 以 列 出 详细 的 文件 目录 及 其 权限 信息 ， 通 常 我 们 会 看 到 文件 属性 部 分 有 如 下 的 信息 。 


具体 含义 如 下 。 
-: 表示 文件 的 类 型 。 
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第 一 个 rwx: 表示 文件 属 主 的 访问 权限 。 

第 二 个 rwx: 表示 文件 同 组 用 户 的 访问 权限 。 

第 三 个 rwx: 表示 其 他 用 户 的 访问 权限 。 

若 某 种 许可 被 限制 ， 则 相应 的 字母 换 为 -。 

在 许可 权限 的 执行 许可 位 置 上 ， 可 能 是 其 他 字母 : s、S、t、T 等 。s 和 S 可 能 出 现在 所 
有 者 和 同 组 用 户 许可 的 位 置 上 ， 与 特殊 的 许可 有 关 ; t 和 工 可 能 出 现在 其 他 用 户 的 许可 模式 
位 置 上 ， 与 “粘贴 位 ”有 关 ， 而 与 安全 无 关 。 小 写 的 字母 6，s，b 表 示 执 行 许 可 为 允许 ， 负 
号 或 者 大 写字 母 C(，S， 卫 表示 执行 许可 为 不 允许 。 

改变 许可 方式 的 命令 是 chmod 命令 ， 并 以 新 的 许可 方式 和 该 文件 名 为 参数 ， 许 可 方式 以 
3 位 8 进 制 数 为 表现 形式 ,例如 r 是 4,w 是 2,x 是 1， 如 果 要 给 一 个 文件 设置 属性 为 rwxr-xr-， 
对 应 的 数值 就 是 754。 

chmod 命令 也 有 其 他 方式 的 参数 ， 可 以 直接 对 某 组 参数 进行 修改 。 在 此 我 们 不 再 详细 介 
绍 ， 需 要 了 解 的 读者 请 自行 参阅 UNIX 系统 相关 的 书籍 和 手册 。 

文件 许可 权 可 以 用 于 防止 误 操 作 , 如 误 删 了 或 者 写 入 了 一 个 重要 文件 , 即使 是 属 主 本 人 ， 
也 可 以 防止 这 样 的 低级 错误 造成 的 损失 。 

改变 文件 的 属 主 和 组 ， 可 以 用 chown 和 chgm 命令 ， 但 是 修改 后 原 属 主 和 组 员 就 无 法 修 
改 回 来 了 。 

3. 目录 许可 


前 面 介绍 的 是 文件 许可 , 现在 来 介绍 UNIX 系统 下 的 目录 许可 。 其实, 在 UNIX 系统 中 ， 
目录 也 被 看 成 是 一 个 文件 ， 不 同 的 是 它 具 有 与 文件 不 同 的 标识 位 。 在 用 1s 汪 列 出 文件 清单 的 
时 候 ， 目 录 文 件 的 属性 前 面 带 有 一 个 d 字母 ， 表 明 该 文件 是 一 个 目录 。 目 录 许 可 也 类 似 于 文 
件 许可 ， 用 ls 列 目 录 要 有 读 许可 权 ， 在 目录 中 新 建 或 者 删除 文件 要 有 写 权 限 ， 进 入 目录 或 者 
将 该 目录 作为 路 径 常 量 时 ， 必 须 有 执行 许可 权 ， 因 此 要 使 用 任 一 个 文件 ， 必 须 有 该 文件 及 找 
到 该 文件 的 路 径 上 所 有 目录 常量 的 相应 许可 权 。 当 打开 一 个 文件 时 ， 文 件 的 许可 才 开始 起 作 
用 , 而 rm 和 mv 只 要 有 目录 的 搜索 和 写 许 可 ,不 需要 文件 的 许可 ,这 一 点 在 使 用 过 程 中 需要 
注意 。 

4. umask 命令 


umask 设置 用 户 文件 和 目录 的 文件 创建 默认 屏蔽 值 ， 如 果 将 此 命令 放 入 .profile 文件， 就 
可 以 控制 该 用 户 后 续 所 建立 的 文件 的 存 取 许 可 。umask 命令 与 chmod 命令 的 作用 正好 相反 ， 
它 告诉 系统 在 创建 文件 时 不 给 予 什么 存 取 许可 。 

5. 设置 用 户 ID 和 同 组 用 户 ID 许可 


针对 某 个 目标 文件 可 分 别 设置 SUID(Set UserID， 设 置 用 户 ID)、SGID(Set GroufID， 设 
置 组 ID) 权 限 。 当 一 个 进程 执行 时 就 赋予 4 个 编号 ， 以 标识 该 进程 隶属 于 谁 ， 这 4 个 编号 分 
别 为 实际 和 有 效 的 UID、 实 际 和 有 效 的 GID。 有 效 的 UID 和 GID 一 般 和 实际 的 UID 和 GID 
相同 ， 有 效 的 UID 和 GID 用 于 系统 确定 该 进程 对 于 文件 的 存 取 许可 。 而 设置 可 执行 文件 的 
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SUID 许可 将 改变 上 述 的 情况 ， 当 设置 了 SUID 时 ， 进 程 的 有 效 UID 为 该 可 执行 文件 的 所 有 
者 的 有 效 UID， 而 不 是 执行 该 程序 的 用 户 的 有 效 UID， 因 此 ， 由 该 程序 创建 的 都 有 与 该 程序 
所 有 者 相同 的 存 取 许可 权 。 这 样 ， 程 序 的 所 有 者 将 可 以 通过 程序 的 控制 在 有 限 的 范围 内 向 用 
户 发 表 不 允许 被 公众 访问 的 信息 。 

同样 ，SGID 是 设置 有 效 的 GID。 

一 般 用 chmodu+s 文件 名 和 chmodu -s 文件 名 来 设置 和 取消 SUID 设置 。 用 chmod gts 
文件 名 和 chmod g-s 文件 名 来 设置 和 取消 SGID 设置 。 

当 对 文件 设置 了 SUID 和 SGID 后 ，chown 和 chgrp 命令 将 全 部 取消 这 些许 可 。 


6. cp、mv、In 和 cpio 命令 


1) cp 拷贝 文件 

拷贝 文件 时 ,如 果 目 的 文件 不 存在 , 则 将 同时 拷贝 源 文件 的 存 取 许可 ,包括 SUID 和 SGID 
许可 。 新 拷贝 的 文件 属于 拷贝 的 用 户 所 有 ， 因 此 拷贝 他 人 的 文件 时 要 特别 小 心 ， 不 要 让 其 他 
用 户 的 SUID 程序 破坏 自己 的 文件 安全 。 

2) mv 移动 文件 

移动 文件 时 ， 新 的 文件 存 取 许可 和 源 文件 相同 ，mv 仅 改 变 文 件 的 名 字 。 只 要 用 户 有 目 
录 的 写 和 搜索 许可 权 ， 就 可 以 移 走 该 目录 中 某 人 的 SUID 程序 并 且 不 改变 其 存 取 许可 。 如 果 
目录 许可 设置 不 正确 ， 则 用 户 的 SUID 程序 可 能 被 移 到 一 个 他 不 能 修改 和 删除 的 目录 中 去 ， 
并 出 现 安全 漏洞 。 

3) ln 建立 一 个 链 

为 现 有 的 文件 建立 一 个 链 ， 也 就 是 建立 一 个 引用 同一 个 文件 的 新 名 字 。 如 果 目 的 文件 已 
经 存在 ， 则 该 文件 将 被 删除 而 被 新 的 链 取而代之 ， 或 存在 的 目的 文件 不 允许 用 户 写 入 ， 则 请 
求 用 户 确认 是 否 删除 该 文件 ， 只 允许 在 同一 个 文件 系统 内 建立 链 。 如 果 SUID 文件 已 有 多 个 
链 ， 改 变 其 存 取 的 许可 方式 ， 将 同时 修改 所 有 链 的 存 取 许可 ， 也 可 以 用 chmod000 文件 名 ， 
这 样 不 仅 取消 了 文件 的 SUIDhe SGID 许可 , 也 取消 了 文件 的 全 部 的 链 。 要 想 找到 什么 文件 与 
自己 的 SUID 程序 建立 了 链 ， 不 要 立刻 删除 该 程序 ， 系 统管 理 员 可 以 用 ncheck 命令 找到 该 程 
序 的 链 。 

4) cpio 拷贝 目录 结构 

cpio 命令 用 于 将 目录 结构 拷贝 到 一 个 普通 文件 中 , 而 后 再 用 cpio 命令 将 该 普通 文件 转 成 
目录 结构 。 用 -i 选项 时 ，cpio 从 标准 输入 设备 读 文件 和 目录 列表 ， 并 将 其 内 容 按 档案 格式 找 
贝 到 标准 输出 设备 ; 使 用 -o 选项 时 ， 从 标准 输入 设备 读 取 事先 建立 好 的 档案 ,重建 目录 结构 。 
cpio 命令 常用 以 下 命令 拷贝 一 完整 的 目录 系统 档案 。 

find from dir-prmtlcplo-o>archive 

根据 档案 文件 重建 一 个 目录 结构 的 命令 如 下 。 

cpi0 -id < archive 

cpio 的 安全 约定 如 下 。 

e 档案 文件 存放 着 每 个 文件 的 信息 。 这 些 信息 包括 文件 所 有 者 、 组 用 户 、 最 后 修改 时 

间 、 最 后 存 取 时 间 、 文 件 存 取 许 可 方式 。 
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e 现存 文件 与 cpio 档案 中 的 文件 同名 。 如 果 现 存 文 件 比 档案 中 的 文件 更 新 ， 这 些 文件 
将 不 会 被 重 写 。 

e 如 果 拷贝 时 用 修改 选项 U， 则 同名 的 文件 将 被 重 写 。 有 一 个 问题 值得 关注 ， 如 果 被 

重 写 的 文件 原先 与 另 一 个 文件 建立 了 链 ， 文 件 被 重 写 后 ， 链 没有 断 开 。 也 就 是 说 ， 
该 文件 的 链 将 被 保留 下 来 ， 因 此 该 文件 的 所 有 链 实际 指向 从 档案 中 提取 出 来 的 文件 ， 
运行 cpio 无 条 件 重 写 现存 文件 以 及 改变 链 的 指向 。 

e cpio 档案 中 包含 的 全 路 径 名 或 父 目 录 名 给 文件 。 即 可 以 使 用 绝对 路 径 或 者 相对 路 径 
来 对 目标 档案 进行 操作 ， 这 是 一 种 相对 比较 灵活 的 处 理 方式 。 举 例 说 明 : 

find . -print -depth | cpio -ov >tree.cplo 

该 命令 将 把 当前 目录 及 子 目 录 下 的 所 有 文件 全 部 打包 输出 给 文件 tree.cpio。 

7. su 和 newgrp 命令 


1) su 命令 

su 命令 可 以 不 必 注 销 当前 用 户 而 将 另 一 个 用 户 又 登录 进入 系统 , 作为 男 一 个 用 户 进行 工 
作 。 它 将 启动 一 个 新 的 shell， 将 有 效 和 实际 的 UID 和 GID 设置 给 另 一 个 用 户 。 

2) newgrp 命令 

与 su 相似 ， 用 于 修改 当天 所 处 的 组 名 。 

8. 文件 加 密 


crypt 命令 可 以 提供 给 用 户 加 密 文件 的 功能 。 使 用 一 个 关键 词 将 标准 输入 的 信息 编码 为 不 
可 读 的 杂乱 字符 串 ， 送 到 标准 输出 设备 。 再 次 使 用 此 命令 ， 用 同一 个 关键 词 作用 于 加 密 后 的 
文件 ， 可 以 恢复 文件 的 内 容 。 一 般 来 说 ， 在 文件 加 密 后， 应 删除 原始 文件 ， 只 留 下 加 密 后 的 
版 本 ， 切 记 不 能 忘记 加 密 的 关键 词 。 

在 vi 中 一 般 都 有 加 密 功 能 ， 用 vi -x 参数 可 以 编辑 加 密 后 的 文件 。 关 于 加 密 关 键 词 的 选 
取 ， 通 常 与 口令 的 选取 原则 类 似 。 

由 于 crypt 程序 可 能 被 做 成 特洛伊 木马 ， 因 此 不 宜 用 口令 作为 关键 词 。 最 好 在 加 密 前 用 
pack 或 者 compress 命令 对 该 文件 进行 压缩 后 再 加 密 。 

9. 其 他 安全 问题 


1) 用 户 .profile 文件 

由 于 用 户 的 HOME 目录 下 的 .profile 文件 在 用 户 登录 时 就 被 执行 ， 如 果 该 文件 对 于 其 他 
人 也 是 可 写 的 ， 那 么 系统 的 任何 用 户 都 可 以 修改 它 ， 使 其 按照 自己 的 要 求 去 工作 ， 这 样 可 能 
导致 其 他 用 户 具 有 该 用 户 相同 的 权限 。 


2) ls -a 命令 


此 命令 用 于 列 出 当前 目录 中 的 全 部 文件 ， 包 括 文件 名 以 “.” 开 头 的 文件 ， 查 看 所 有 的 文 
件 的 存 取 许可 方式 和 文件 所 有 者 ， 任 何不 属于 自己 但 存在 于 自己 的 目录 中 的 文件 都 有 可 能 是 
非法 入 侵 的 怀疑 对 象 和 病毒 的 衍生 物 。 
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3) . exrc 文件 

为 编辑 程序 的 初始 化 文件 ， 使 用 编辑 文件 后 ， 首 先 查 找 SHOME/.exrc 文件 和 ./.exrc 文件 ， 
如 果 该 文件 在 SHOME 目录 中 找到 ， 就 可 以 像 profile 一 样 控制 它 的 存 取 方式 。 如 果 在 一 个 自 
己 不 能 控制 的 目录 中 运行 编辑 程序 ， 则 可 以 运行 其 他 人 的 .exrc 文件 , 或 许 该 .exrc 文件 存放 在 
那里 是 为 了 威胁 他 人 的 文件 安全 。 为 了 保证 所 编辑 文件 的 安全 ， 最 好 不 要 在 不 属于 自己 或 其 
他 人 可 写 的 目录 中 运行 任何 编辑 程序 。 

4) 暂 存 文件 和 目录 

在 UNIX 系统 中 ， 临 时 目录 一 般 为 /tmp 和 Asrtmp， 通 常 ， 程 序 员 和 许多 系统 命令 都 会 
用 到 它们 ， 如 果 用 这 些 目录 存放 和 暂时 文件 ， 别 的 用 户 则 可 能 会 破坏 这 些 文件 。 

使 用 临时 文件 最 好 将 文件 屏蔽 值 改 为 007， 但 是 最 保险 的 方式 ， 是 建立 自己 的 临时 文件 
和 目录 --$SHOME/mp， 不 要 将 重要 的 文件 存放 在 公共 的 临时 目录 里 。 

5) UUCP 和 其 他 网 络 

UUCP 命令 用 于 将 文件 从 一 个 UNIX 系统 传 到 另 一 个 UNIX 系统 , 通过 UUCP 传送 的 文 
件 通常 存 于 /usr/spool/uucppublic/login 目录 ，login 是 用 户 的 登录 名 ， 该 目录 存 取 许可 为 777， 
通过 网 络 传输 并 存放 于 此 目录 的 文件 属于 UUCP 所 有 ， 文 件 存 取 许可 为 666 和 777， 用 户 应 
当 通 过 UUCP 对 传送 的 文件 加 密 ， 并 尽快 移 到 自己 的 目录 中 去 。 

其 他 网 络 将 文件 传送 到 用 户 的 HOME 目录 下 的 jc 目录 中 。 该 目录 应 对 其 他 人 是 可 写 可 
搜索 的 ， 但 是 不 必 是 可 读 取 的 ， 因 此 用 户 的 rc 目录 的 存 取 许 可 方式 为 733， 人 允许 程序 在 其 中 
建立 文件 。 同 样 ， 传 送 的 文件 也 应 该 加 密 ， 并 尽快 移 到 自己 的 目录 中 去 。 

6) 特洛伊 木马 

在 UNIX 系统 安全 中 ， 用 特洛伊 木马 来 代表 某 种 程序 ， 这 种 程序 在 完成 某 种 具有 明显 意 
图 的 功能 时 ， 还 破坏 用 户 的 安全 。 如 果 PATH 设置 为 先 搜索 系统 目录 ， 则 受 特洛伊 木马 的 攻 
击 会 大 大 减少 ， 如 模拟 的 crypt 程序 。 

7) 诱骗 

类 似 于 特洛伊 木马 , 模拟 一 些 东 西 使 用 户 汇 露 一 些 保 密 信息 , 不 同 的 是 , 它 由 某 人 执行 ， 
等 待 无 警觉 的 用 户 上 当 ， 如 模拟 login。 

8) 计算 机 病毒 

计算 机 病毒 通过 把 其 他 程序 编程 病毒 从 而 传染 系统 ， 它 可 以 迅速 地 扩散 。 特 别 是 系统 管 
理 员 由 于 粗心 大 意 ， 作 为 root 运行 一 些 被 感染 的 程序 的 时 候 ， 病 毒 就 会 大 面积 感染 其 他 的 程 
序 和 文件 。 

实验 表明 ， 一 个 病毒 可 以 在 一 个 小 时 内 (平均 少 于 30 分 钟 ) 取 得 root 权限 。 

9) 注销 登录 

如 果 用 户 离开 自己 已 经 登录 的 终端 ， 务 必要 记 住 注销 登录 。 

10) 智能 终端 
由 于 智能 终端 有 send 和 enter 换 码 序列 ， 告 诉 终端 发 送 当前 行 给 系统 ， 就 像 用 户 从 键盘 
输入 的 一 样 ， 这 是 一 种 威胁 的 做 法 。 非 法 入 侵 者 可 以 用 write 命令 发 送信 息 给 本 用 户 终端 ， 
信息 中 包含 如 下 的 换 码 序列 。 
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e 移动 光标 到 新 行 (换行 )。 

e@ 在 屏幕 上 显示 “rmm-r*”。 

e 将 该 行 发 送 给 系统 。 

后 果 大 家 可 想 而 知 , 禁止 其 他 用 户 发 送信 息 的 命令 是 mesg, mesgn 不 允许 其 他 用 户 发 送 
信息 ，mesgy 允许 其 他 用 户 发 信息 。 

即使 如 此 , 仍然 是 有 换 码 序列 的 问题 存在 , 任何 一 个 用 户 用 mail 命令 发 送 同样 一 组 换 码 
序列 ， 不 同 的 要 用 ! rm-r 替换 rm -r*.mal。 将 以 ! 开 头 的 行 解释 为 一 条 shell 命令 ， 启 动 shell， 
由 shell 解释 该 行 的 其 他 部 分 ， 这 被 称 为 shell 换 码 。 为 了 避免 mail 命 命令 送 换 码 序列 到 自己 的 
终端 ， 可 以 建立 一 个 过 滤 程 序 ， 在 读 mail 文件 之 前 先 运行 过 滤 程 序 ， 对 mail 文件 进行 如 下 
的 处 理 ; 


myname=“$LOGNAME” ; 

Tr-d M001 - \007 J[ - \013- \037]< 
/usr/mail/$myname>>$HOME/mailbox; 
>/usr/mail/$myname; 


Mail -f SHOME/mailbox 


其 中 tr 是 个 字符 过 滤器 ， 其 输入 的 数据 经 过 指定 的 转换 后 ， 再 导向 标准 输出 流 
11) 断 开 与 系统 的 联接 
用 户 应 在 看 到 系统 确认 用 户 登录 注销 后 才 离 开 计 算 机 ， 以 免 在 用 户 未 注销 时 被 人 乘虚 
而 入 。 
ww cu 命令 
该 命令 使 用 户 能 从 一 个 UNIX 系统 登录 到 另 一 个 UNIX 系统 ， 此 时 ， 在 远程 系统 中 注销 
用 户 后 还 必须 输入 “~” 然 后 回 车 ， 以 断 开 cu 和 远程 系统 的 联接 。cu 还 有 两 个 安全 的 问题 。 
e 如 本 机 安全 性 弱 于 远程 计算 机 ， 不 提倡 用 cu 去 登录 远程 机 器 ， 以 免 由 于 本 机 的 不 安 
全 影响 到 较 安 全 的 远程 计算 机 。 
e 由 于 cu 的 老 版 本 处 理 “~ ”的 方法 不 完善 , 从 安全 性 强 的 系统 调用 安全 性 弱 的 系统 时 ， 
会 使 弱 系统 的 用 户 使 用 强 系统 的 用 户 的 cu 传送 强 系 统 的 /etc/passwd 文件 ， 除 非 确信 
正在 使 用 的 cu 是 正确 版 本 ， 和 否则 不 要 调用 弱 系 统 。 


10. 保护 账户 安全 的 要 点 


1) 保证 密码 的 安全 

e 不 要 将 密码 写 下 来 。 

e 不 要 选取 显而易见 的 信息 作 密 码 
e 不 要 让 他 人 知道 自己 的 密码 
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e 不 要 交替 使 用 两 个 不 变 的 密码 。 
e 不 要 在 不 同系 统 上 使 用 同样 的 密码 。 
e@ 不 要 让 他 人 看 见 自己 输入 的 密码 。 
) 不 让 自己 的 文件 或 目录 被 他 人 写 
e 如果 不信 任 本 组 其 他 用 户 ，umask 设置 为 022。 
e 确保 自己 的 .profile 除了 自己 之 外 ， 其 他 人 都 不 可 读 写 。 
e 和 暂 存 目录 最 好 不 存放 重要 文件 。 
e 确保 HOME 目录 对 任何 人 不 可 写 。 
e uucp 传输 的 文件 应 该 加 密 ， 并 尽量 私人 化 。 
3) 不 让 其 他 用 户 读 自 己 的 文件 或 目录 
e@ umask 设置 为 006 或 007。 
e 如 果 不 允 许 同 组 用 户 存 取 自 己 的 文件 和 目录 ，umask 设置 为 077。 
e 暂 存 文件 按 当 前 的 umask 设置 ， 存 放 重 要 数据 到 暂 存 文件 的 程序 ， 就 被 写成 能 确保 
暂 存 文件 对 其 他 用 户 不 可 读 。 
e 确保 HOME 目录 对 每 个 用 户 不 可 读 。 
4) 不 要 设置 SUID/SGID 权限 
5) 小 心 拷贝 和 移动 文件 
e@ cp 拷贝 文件 时 ， 目 的 文件 的 许可 方式 将 和 文件 相同 ,包括 SUID/SGID 许可 在 内 ， 如 
目的 文件 已 经 存在 ， 则 目的 文件 的 存 取 许 可 和 所 有 者 均 不 变 。 
e mv 移动 文件 时 ， 目 的 文件 的 许可 方式 将 和 文件 相同 ， 包 括 SUID/SGID 许可 在 内 ， 
如 果 在 同一 文件 系统 内 移动 文件 ， 目 的 文件 的 所 有 者 和 小 组 都 不 变 ， 和 否则 ， 目 的 文 
件 、 所 有 者 和 小 组 将 设置 成 本 用 户 的 有 效 UID 和 GID。 
e 小 心 使 用 cpio 命令 ， 它 能 覆盖 不 在 本 用 户 当前 目录 结构 中 的 文件 ， 可 以 用 t 选项 首 
先 列 出 要 被 拷贝 的 文件 。 
6) 删除 SUID/SGID 程序 
删除 一 个 SUID/SGID 程序 时 ， 先 检查 程序 的 连接 数 ， 如 果 有 多 个 链 ， 则 将 该 存 取 许 可 
方式 改 为 000， 然 后 再 删除 该 程序 ， 或 者 先 写 空 该 程序 ， 再 删除 ， 也 可 将 该 程序 的 i 结 点 号 
给 系统 管理 员 ， 用 来 查找 该 文件 的 其 他 链 。 
7) 用 crypt 加 密 
将 一 些 不 想 让 其 他 用 户 ， 包 括 超级 用 户 看 到 的 文件 ， 用 crypt 命令 加 密 。 
e 不 要 将 关键 词 作为 命令 的 变量 。 
e 用 ed-x 或 者 vi-x 编辑 加 密 文件 。 
8) 除了 信任 的 用 户外 ， 不 要 运行 其 他 用 户 的 程序 ， 避 免 恶意 程序 被 执行 
9) 在 自己 的 PATH 系统 变量 中 ， 加 入 系统 目录 ， 防 止 其 他 程序 仿冒 成 系统 程序 
10) 不 要 离开 自己 正在 登录 状态 的 终端 ， 以 免 未 授权 的 用 户 对 终端 进行 操作 
11) 如 果 有 智能 终端 ， 当 心 来 自 其 他 用 户 ， 包 括 write、mail 命令 和 其 他 用 户 文件 的 信息 
中 ， 带 有 换 码 的 序列 


MD 
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12) 用 CtrlHD 或 者 exit 退出 后 ， 在 断 开 与 系统 的 连接 前 等 待 看 到 “login:” 提 示 
13) 注意 cu 的 版 本 

e 不 要 用 cu 调用 安全 性 更 强 的 系统 。 

e 除非 确信 cu 不 会 被 诱骗 发 送 文件 ， 否 则 不 要 用 cu 调用 安全 性 较 弱 的 系统 。 


4.3.2 UNIX 操作 系统 登录 过 程 


当 UNIX 系统 启动 时 ，UNIX 内 核 将 被 调 入 计算 机 内 存 ， 并 一 直 保留 在 内 存 中 直到 机 器 
关闭 。 在 引导 过 程 中 , init 程序 将 进入 后 台 进 行 , 一 直到 机 器 关闭 ,该 程序 查询 文件 /etc/inittab， 
该 文件 列 出 了 连接 终端 的 各 个 端口 及 其 特征 。 当 发 现 一 个 活动 的 终端 时 ，init 程序 调用 getty 
程序 在 终端 上 显示 login 等 待 登录 信息 。 在 输入 密码 验证 后 ，getty 调用 login 进程 ， 该 进程 根 
据 文 件 /etc/passwd 和 /etc/shadow 的 内 容 来 验证 用 户 的 身份 。 如 果 用 户 通 过 身份 验证 ，login 进 
程 把 用 户 的 home 目录 设置 成 当前 目录 并 把 控制 权 交 给 一 系列 setup 程序 。setup 程序 可 以 是 

中 定 的 应 用 程序 ， 通 常 作为 一 个 shell 程序 ， 如 : /bin/sh。 得 到 控制 后 ，shell 程序 读 取 并 执行 
文件 /etc/.profile 以 及 .profile， 这 两 个 文件 分 别 建立 了 系统 范围 内 的 和 该 用 户 自己 的 工作 环境 。 
最 后 shell 显示 命令 提示 符 ， 如 $。 


4.4 Linux 操作 系统 


UNIX 系统 对 计算 机 硬件 的 要 求 比较 高 ， 对 于 一 般 的 个 人 用 户 来 说 ， 想 要 在 PC 机 上 运 
行 UNIX 系统 是 比较 困难 的 。 而 Linux 就 为 一 般 用 户 提 供 了 使 用 UNIX 操作 系统 的 机 会 。 因 
为 Linux 是 按照 UNIX 风格 设计 的 操作 系统 ， 所 以 在 源 代码 上 兼容 大 部 分 的 UNIX 标准 ， 可 
以 说 相当 多 的 网 络 安全 人 员 在 自己 的 计算 机 上 运行 的 都 是 Linux。 


4.4.1 Linux 操作 系统 简介 


Linux 是 在 1990 年 ， 由 芬兰 赫尔辛基 大 学 的 一 名 学 生 莱 纳 斯 。 托 瓦 欧 (Linus Torvalds) 开 
发 的 。 在 Linux 0.02 版 本 中 已 经 可 以 运行 bash(Shell 的 一 种 ) 和 gcc(GNUC 的 编译 器 )。 

最 近 几 年 Linux 的 发 展 和 推广 速度 迅猛 ， 已 经 有 超过 其 他 操作 系统 的 趋势 ， 在 网 络 服务 
器 领域 占领 了 20% 的 市 场 份额 。Linux 具有 与 UNIX 高 度 兼容 、 稳 定性 和 可 靠 性 高 、 源 代码 
开放 和 价格 低廉 、 安 全 等 特点 。 正 是 由 于 Linux 的 源 程序 代码 是 开放 式 的 ， 从 而 学 习 者 可 以 
阅读 到 操作 系统 的 核心 代码 ， 有 兴趣 的 用 户 甚至 可 以 了 解 到 整个 操作 系统 是 怎么 编写 的 。 
此 在 Linux 下 搞 开发 与 在 Windows 上 从 事 开 发 完全 不 同 。 因 为 如 果 在 Windows 上 从 事 开发 ， 
可 以 很 容易 地 找到 Borland 公司 或 者 微软 公司 的 带 有 友好 图 形 界面 的 开发 工具 ， 但 是 接触 不 
到 底层 的 技术 核心 ， 不 明白 操作 系统 的 底层 连接 是 如 何 实现 的 。 在 UNIX 上 开发 和 Linux 上 
也 有 所 不 同 ， 在 UNIX 上 开发 需要 一 台 SUN 或 者 IBM 的 工作 站 ， 而 Linux 可 以 在 个 人 计算 
机 上 进行 。 此 外 ，Linux 有 诸如 gece 编译 器 等 众多 的 免费 资源 可 以 利用 ， 极 大 地 降低 了 开发 
成 本 ， 也 是 它 得 以 广 为 流 传 的 一 个 主要 原因 。 

Linux 和 Windows NT 比 起 来 技术 上 存在 很 多 优势 , 最 主要 体现 在 三 个 方面 : Linux 更 加 
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安全 ; Linux 更 加 稳定 ; Linux 的 硬件 资源 占用 比 Windows NT 少 很 多 。 在 安全 问题 上 ， 首 先 
是 针对 Linux 的 病毒 非常 少 。 用 户 经 常会 磁 到 这 样 的 现象 ， 就 是 运行 Windows NT 的 服务 器 
时 ,每 个 星期 都 会 由 于 故障 而 重新 启动 一 次 机 器 ,而 运行 Linux 的 机 器 很 少 发 生 这 样 的 故障 。 
原因 是 Linux 在 稳定 性 上 确实 比 Windows 胜 出 一 筹 .在 资源 占用 率 方面 ,Linux 和 Windows NT 
的 差距 超出 人 们 的 想象 。 一 台 运行 Windows NT 的 服务 器 可 以 支持 50 个 用 户 登 录 使 用 , 而 同 
一 台 PC 服务 器 如 果 换 成 了 Linux, 则 可 以 支持 1000 名 用 户 使 用 ,由 此 算 来 ,使 用 Windows NT 
和 使 用 Linux 的 成 本 差异 则 有 20 倍 之 大 。 

Red Hat 推出 的 Red Hat Linux Advanced Server 产品 , 是 第 一 种 企业 级 的 Linux 操作 系统 。 
Red Hat Linux Advanced Server 操 作 系统 能 够 保证 大 型 企业 尽快 从 昂贵 的 UNIX 操 作 系 统 中 解 
脱出 来 , 转移 到 非 经 济 实用 的 Linux 系统 中 .IDC 公司 的 一 个 分 析 数 据 表明 ,在 IntemebIntranet 
环境 中 使 用 Linux 与 使 用 Risc/UNIX 相 比 ， 每 个 使 用 者 成 本 降低 一 半 ， 而 在 合作 计算 任务 的 
环境 下 ， 成 本 更 可 以 节省 75% 以 上 ， 这 是 一 个 相当 诱 人 的 数据 。 

目前 国内 一 些小 型 网 站 很 流行 使 用 Linux， 配 合 Apache 做 服务 器 端 ，PHP 做 开发 工具 ， 
MySQL 作为 数据 库 ， 这 种 组 合 对 于 那些 以 节省 开支 为 目的 ， 而 又 具有 一 定 实用 性 的 小 型 网 
站 来 说 ， 确 实 有 着 微软 的 Windows 2000+IIS+Exchange Server+SQL Server 无 可 比拟 的 优势 。 


4.4.2 Linux 网 络 安全 


Linux 提供 了 大 量 的 与 网 络 安全 有 关 的 工具 ， 但 是 如 果 运 用 不 当 ， 这 些 工 具 会 给 系统 留 
下 一 些 安全 隐患 。 

近 几 年 来 Intemet 变 得 越 来 越 不 安全 ， 网 络 的 通信 量 日 益 加 大 ， 越 来 越 多 的 重要 交易 通 
过 网 络 完成 ， 与 此 同时 ， 数 据 被 破坏 、 截 取 和 修改 的 风险 也 在 增加 。 因 此 ， 优 秀 的 系统 应 当 
拥有 完善 的 安全 措施 ， 应 当 足 够 抵抗 来 自 Intemet 的 侵袭 。 这 正 是 Linux 之 所 以 流行 ,受到 广 
大 用 户 青 睐 的 原因 ， 并 且 逐 渐 成 为 Internet 的 骨干 力量 之 一 。 下 面 我 们 介绍 一 些 基 本 的 Linux 
网 络 安全 知识 。 

远程 攻击 者 会 用 各 种 方法 入 侵 目 标的 机 器 ， 他 们 经 常 寻找 并 利用 现 有 程序 中 的 漏洞 ， 其 
中 操作 系统 的 漏洞 更 是 非法 入 侵 的 必须 的 研究 对 象 。 相 对 于 Windows 操作 系统 ，Linux 由 于 
其 开放 式 的 源 代 码 ， 可 以 供 众多 的 用 户 和 程序 员 进 行 研究 和 测试 ， 总 是 能 够 快速 发 现 这 些 问 
题 并 发 布 修补 漏洞 的 补丁 ， 因 此 Linux 补丁 的 发 布 速度 通常 要 比 其 他 操作 系统 针对 类 似 问题 
的 反应 要 快 得 多 。 下 面 讲述 几 种 入 侵 及 反 入 侵 ， 击 败 入 侵 者 阴谋 ， 构 造 真正 安全 的 Linux 系 
统 的 方法 。 

1. 网 络 服务 


作为 一 种 服务 器 操作 系统 ，Linux 提供 了 FTP、WWW、E-mail 等 各 种 各 样 的 Interet 服 
务 。Linux 管理 大 多 数 这 类 服务 的 方法 是 通过 一 个 端口 体系 实现 ， 例 如 FTP 使 用 端口 为 21。 
如 果 用 户 有 兴趣 可 以 尝试 一 下 ， 在 /etc/services 文件 找到 一 个 端口 号 和 服务 器 的 名 字 的 列表 清 
单 。 为 了 节约 系统 资源 ， 简 化 管理 操作 ， 许 多 服务 器 都 通过 配置 文件 /etc/inetd.conf 来 控制 ， 
/etc/inetd.conf 文件 告诉 系统 怎样 运行 各 个 服务 器 。 
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2. 检查 系统 中 运行 的 服务 


许多 开发 商 在 inetd.conf 的 默认 设置 中 运行 了 大 量 的 服务 ， 从 尽 可 能 安全 的 角度 来 看 ， 
它们 当中 的 许多 服务 都 是 不 必要 的 , 应 该 关闭 以 减少 被 非法 入 侵 者 利用 进行 攻击 的 危险 程度 。 
要 检查 Linux 系统 当前 运行 了 哪些 服务 ， 可 以 输入 以 下 命令 。 


netstat —vat 
该 命令 的 输出 如 下 。 


tep 0 0 *:5000 *:* LISTEN 
tcp 00*:ww *:* LISTEN 
tcp 0 0 *:auth *:* LISTEN 
tcp 0 0 *:finger *:* LISTEN 
tcp 0 0 *:shell *:* LISTEN 


tcp 0 0 *:sunrpe *:* LISTEN 
每 一 个 带 有 “LISTEN” 的 行 ， 意 思 为 监听 ， 代 表 一 个 正 等 待 连接 的 服务 ， 这 些 服 务 中 
有 一 部 分 以 独立 程序 的 形式 运行 ， 但 其 中 大 部 分 都 由 /etc/inetd.conf 控制 。 如 果 不 能 肯定 某 个 
服务 的 具体 情况 ， 请 查 一 下 /etc/inetd.conf。 如 : 
grep &single;^finger&single;/etc/inetd.conf 
上 述 命 令 从 inetd.conf 中 返回 如 下 的 内 容 : 
finger steam tcp nowait nobody/usr/sbin/tecpd/usr/sbin/in.fingerd 


如 果 觉 得 并 不 需要 这 个 服务 ， 可 以 通过 在 /etc/inetd.conf 中 修改 相关 设置 关闭 它 : 首先 注 
释 掉 该 行内 容 ( 在 行 的 前 面 加 一 个 “#”， 即 为 注释 标记 )， 然 后 执行 命令 killall -HUP inetd， 
这 样 就 关闭 了 一 个 服务 ， 系 统 不 需要 重新 启动 ， 即 时 生效 。 

如 果 某 个 服务 并 没有 在 /etc/inetd.conf 内 列 出 ， 很 有 可 能 它 是 一 个 独立 的 服务 程序 。 独 立 
服务 程序 提供 的 服务 ， 可 以 通过 反 安 装 软 件 包 删除 。 需 要 注意 的 是 : 只 有 用 户 能 够 肯定 自己 
了 解 该 程序 的 作用 ， 而 且 确 实 不 需要 该 服务 的 时 候 才 可 以 执行 删除 操作 ， 否 则 引发 的 后 果 有 
可 能 很 严重 。 

3. 允许 /拒绝 服务 器 


为 了 进一步 加 强 各 种 服务 的 安全 性 ，Linux 提供 了 一 个 允许 或 禁止 它们 选择 服务 器 的 机 
制 。/etc/hosts.allow 和 /etc/hosts.deny 这 两 个 文件 中 列 出 了 服务 器 和 服务 的 信任 和 拒绝 的 关系 
表 ， 具 体内 容 请 参看 相关 的 技术 手册 。 
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4. ssh( 安 全 Shell) 


通过 检查 服务 器 名 字 拒 绝 连接 是 一 种 很 好 的 基本 攻击 防范 手段 , 但 是 仅仅 有 这 一 个 方法 
是 不 够 的 ， 因 为 连接 请 求 中 的 服务 器 名 字 有 可 能 是 伪造 的 。 当 数据 在 Intemet 上 的 两 个 程序 
之 间 传 输 时 ， 它 同时 也 处 在 危险 当中 。 任 何 懂得 这 方面 知识 的 人 都 可 以 偷 看 到 这 些 数据 ， 使 
用 一 种 称 为 “了 欺骗 ”的 技术 ， 甚 至 还 可 以 将 伪造 的 数据 注入 原来 的 数据 当中 。 产 生 这 些 问 
题 的 原因 在 于 Intemet 协议 的 作用 方式 。 为 了 解决 这 些 难 题 ， 人 们 设计 出 了 ssh。 

ssh 是 一 种 优秀 的 连接 加 密 和 验证 系统 。 加 密 是 指 传输 数据 的 时 候 用 密 钥 加 以 保护 ， 验 
证 是 一 种 检验 数据 包 或 者 连接 是 否 合法 的 操作 。 大 多 数 操作 系统 都 有 ssh 客户 端 。 使 用 Linux 
作为 服务 器 ， 可 以 为 所 有 的 网 络 应 用 提供 ssl 级 别 的 安全 。 

5. 监视 程序 和 运行 日 志 


Linux 为 系统 管理 员 了 解 系统 所 发 生 的 事情 提供 了 一 组 精简 的 程序 。 下 面 介 绍 有 关 日 志 
记录 的 工具 。 检 查 这 些 工具 是 否 已 经 正确 地 安装 ， 以 及 发 现 可 入 侵 企图 时 可 以 查看 系统 日 志 
文件 。 记 录 事 件 日 志 的 主要 问题 在 于 记录 的 数据 往往 太 多 ， 因 此 设置 好 过 滤 条 件 、 只 记录 关 
键 信息 是 非常 重要 的 。 

6. jail 


jail 是 Just Another IP Logger 的 第 一 个 字母 缩写 。 它 由 两 个 后 台 运 行 的 小 程序 组 成 : 
icmplog 和 tcplog。jail 会 在 /var/log/syslog 里 记录 用 户 想 要 了 解 的 数据 包 。 详 情 请 参考 相关 的 
技术 手册 。 

7. ftpd、rlogind 以 及 其 他 用 户 交 互 


大 多 数 标准 服务 还 会 在 /var/log/syslog 和 /var/log/messages 中 记录 有 关 用 户 或 者 连接 企图 
的 信息 。 

利用 swatch 可 以 实现 syslog 文件 的 自动 监视 , swatch 不 断 在 syslog 中 扫描 系统 管理 员 指 
定 的 事件 ， 一 旦 发 现 需要 注意 的 问题 就 发 出 警报 。 

8. 其 他 安全 措施 : 防火墙 


计算 机 中 的 防火 墙 ， 是 一 种 用 来 保护 私有 网 络 (内 部 网 ) 不 受 外 界 攻击 的 设备 。 最 简单 的 
防火 墙 ， 可 以 是 一 个 带 有 两 个 网 卡 的 Linux 机 器 ， 其 中 一 个 网 卡 (以 太 网 卡 或 Modem) 连 接 
Intemet， 男 一 个 网 卡 连接 私有 网 络 ， 受 保护 的 网 络 不 能 直接 访问 Intemet，Intemet 也 不 能 直 
接 访问 受 保护 的 网 络 内 部 机 器 。 

所 有 发 送 到 或 者 来 自 ntemet( 或 Intranet 网 内 ) 的 数据 都 经 过 防火 墙 的 过 滤 。 在 内 部 网 络 ， 
像 关闭 某 些 服务 之 类 的 问题 不 再 重要 。 这 种 方式 集中 了 大 部 分 力量 使 得 某 一 台 机 器 更 加 安全 ， 
然后 用 它 来 保护 内 部 网 络 的 其 他 机 器 。 如 何 正 确 地 配置 并 运行 防火 墙 ， 是 一 个 较为 复杂 的 问 
题 ， 除 了 要 安装 好 机 器 上 的 两 个 网 卡 之 外 ， 还 必须 使 用 ipchains 程序 设置 过 滤 条 件 。 

提高 系统 安全 性 的 主要 缺点 在 于 它 会 降低 系统 的 可 访问 性 ( 易 访 问 性 )。Linux 提供 了 大 量 
的 安全 工具 ， 合 理 地 综合 运用 这 些 工具 应 该 可 以 获得 可 访问 性 和 安全 之 间 的 一 个 平衡 。 
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9. 其 他 安全 问题 及 解决 方法 


Linux 系统 存在 的 一 个 弱点 是 : 它 使 那些 心怀 不 轨 的 计算 机 使 用 者 可 以 获得 防护 性 防火 
墙 软件 的 许可 ,进入 那些 本 来 受到 保护 的 网 络 当 中 。Linux 内 核 从 2.4.14 版 本 一 直到 2.4.18-pre9 
版 本 都 存在 这 个 缺陷 ， 它 存在 于 netfilter 防火 墙 软件 的 一 个 组 件 当中 ， 这 个 组 件 在 两 个 计算 
机 用 户 使 用 了 及 SGntemet Relay System) 直 接 进行 聊天 时 会 被 用 到 。 网 上 传输 的 信息 都 被 分 割 成 
很 多 小 小 的 “数据 报 ”， 每 个 数据 报 都 带 有 来 源 地 和 目的 地 址 等 信息 ， 从 而 指明 是 谁 发 出 来 
的 数据 ， 以 及 这 些 数据 是 发 送 给 谁 的 。 所 谓 的 防火 墙 软件 就 是 通过 发 送 人 的 地 址 来 传输 或 筛 
选 出 这 些 数 据 报 。Netfilter 是 Linux 内 核 2.4 版 本 的 新 特点 之 一 ， 是 一 种 在 内 核 内 部 运行 、 过 
滤 掉 不 需要 的 数据 报 的 软件 。 但 是 Netfilter 的 IRC 助手 组 件 对 防火 墙 的 设置 太 宽松 ， 有 可 能 
允许 来 自 那些 本 该 被 封 掉 的 IP 地 址 的 信息 。Linux 系统 的 龙头 老大 Red Hat 公司 推出 的 7.1 
和 7.2 版 本 也 有 这 个 缺陷 。 官方 表 示 , 存在 缺陷 的 软件 在 Red Hat 的 Linux 系统 当中 并 不 是 默 
认 安 装 的 ， 但 是 一 些 用户 可 能 会 选择 安装 这 个 软件 ， 从 而 带 来 安全 隐患 问题 。 解 决 的 方法 ， 
最 显而易见 的 就 是 ， 不 要 安装 这 个 软件 ， 或 者 去 厂家 网 站 里 下 载 补丁 。 


4.5 操作 系统 漏洞 


一 般 来 说 ， 黑 客 攻 击 或 者 入 侵 的 行为 分 为 两 种 : 主动 方式 和 被 动 方式 。 

主动 方式 即 利用 互联 网 可 交互 的 特点 ， 在 网 上 发 布 一 些 含有 恶意 代码 的 网 页 、 软 件 、 电 
子 邮件 ， 当 其 他 用 户 浏览 网 页 、 下 载运 行 软件 或 者 打开 含有 恶意 代码 的 电子 邮件 时 ， 这 些 代 
码 就 在 目标 计算 机 中 激活 ， 发 挥 作用 ， 感 染 系统 或 者 留 下 后 门 程 序 ， 以 达到 控制 该 计算 机 的 
目的 。 

两 种 入 侵 方式 中 ， 主 动 入 侵 的 危害 性 更 大 。 主 动 方式 一 般 都 利用 了 操作 系统 的 缺陷 或 者 
漏洞 ， 在 用 户 不 知 不 觉 中 就 侵入 了 操作 系统 ， 获 得 系统 的 控制 权 。 对 于 一 般 用 户 而 言 ， 这 些 
攻击 防不胜防 。 

曾经 有 一 段 时 间 非 常 猩 狂 的 Nimda 病毒 ， 就 是 利用 了 Windows 操作 系统 的 一 个 漏洞 ， 
使 全 球 许多 计算 机 用 户 深 受 其 害 ， 造 成 了 巨大 的 经 济 损失 。 操 作 系统 的 缺陷 主要 来 源 于 四 个 
方面 : VO( 输 入 /输出 ); 访问 策略 的 混乱 ， 不 完全 的 介入 ; 以 及 通用 性 方面 的 漏洞 。 下 面 我 们 
从 操作 系统 的 脆弱 性 等 级 划分 着 手 ， 探 讨 一 下 与 操作 系统 漏洞 相关 的 一 些 问 题 。 


4.5.1 操作 系统 脆弱 性 等 级 
操作 系统 的 脆弱 性 可 以 分 为 A、B、C 三 个 等 级 。 
1. 人 A 级 


A 级 是 指 允 许 过 程 用 户 未 经 授权 访问 的 漏洞 ， 这 一 类 级 别 威胁 性 最 大 ， 一 般 来 源 于 系统 
管理 或 者 设置 上 的 失误 。 
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2.B 级 


B 级 是 指 允许 本 地 用 户 非 法 访问 的 漏洞 ， 允 许 本 地 用 户 获 得 或 增加 未 经 授权 的 访问 。 这 
类 级 别 威胁 性 处 于 中 等 ， 主 要 来 源 于 应 用 程序 ， 例 如 缓冲 区 的 溢出 。 缓 冲 区 是 内 存 中 存放 临 
时 数据 的 地 方 。 当 程序 试图 将 数据 放 到 计算 机 内 存 中 的 某 个 位 置 ， 如 果 计 算 机 没有 足够 的 内 
存 空 间 ， 将 发 生 缓冲 区 溢出 。 

目前 ， 防 止 缓 冲 区 溢出 的 方法 通常 有 以 下 几 种 。 

1) 编写 正确 的 代码 

编写 正确 的 代码 是 一 件 重要 而 耗 时 的 工作 ， 特 别 是 编写 汇编 等 语言 的 程序 ， 一 行 代 码 的 
背 误 也 许 就 导致 整个 程序 的 致命 错误 。 

2) 非 执 行 的 缓冲 区 

通过 使 被 攻击 程序 的 数据 段 地 址 空间 不 可 执行 ， 使 得 攻击 者 不 可 能 执行 被 植 入 被 攻击 程 
序 输入 缓冲 区 的 代码 ， 这 种 技术 被 称 为 非 执行 的 缓冲 区 技术 。 事 实 上 ， 很 多 老 的 UNIX 系统 
都 是 这 样 设计 的 , 但 是 近来 的 UNIX 和 Windows 系统 为 了 实现 更 好 的 性 能 和 功能 ,往往 在 数 
据 段 中 动态 放 入 可 以 执行 的 代码 ， 例 如 调用 DLL( 动 态 链接 库 ) 的 函数 等 。 

3) 数组 边界 检查 

植 入 代码 引起 缓冲 区 溢出 是 一 个 问题 ， 扰 乱 程 序 的 正常 执行 流程 是 男 一 个 问题 。 不 像 非 
执行 缓冲 区 保护 , 数组 边界 检查 完全 避免 了 数据 缓冲 区 的 溢出 以 及 因此 而 产生 的 攻击 。 这样， 
只 要 数组 不 溢出 ， 洪 出 攻击 就 无 从 谈 起 了 。 为 了 实现 数组 边界 检查 ， 所 有 对 数组 的 读 写 操作 
都 应 当 被 检查 ， 以 确保 对 数组 的 操作 控制 在 准确 的 范围 之 内 。 

4) 程序 指针 完整 性 检查 

程序 指针 完整 性 检查 和 边界 检查 略 有 不 同 ， 与 防止 程序 指针 被 改变 不 同 ， 程 序 指针 完整 
性 检查 在 程序 指针 被 引用 之 前 检测 到 它 的 改变 。 因 此 ， 即 使 一 个 攻击 者 成 功 地 改变 程序 的 指 
针 ， 由 于 系统 事先 检测 到 了 指针 的 改变 ， 这 个 指针 也 不 会 被 使 用 。 与 数组 边界 检查 相 比 ， 这 
种 方法 不 能 解决 所 有 的 缓冲 区 溢出 问题 。 采 用 其 他 的 缓冲 区 溢出 方法 可 以 避免 这 种 检测 ， 并 
且 这 种 方法 在 性 能 上 有 很 大 的 优势 ， 兼 容 性 也 很 好 。 

3.C 级 


C 级 是 指 允 许 拒绝 服务 (DoS) 的 漏洞 。 这 类 级 别 威胁 性 最 小 ， 一 般 来 源 于 操作 系统 本 身 。 

拒绝 服务 的 英文 全 称 是 Denial of Services。 从 网 络 攻 击 的 各 种 方法 和 它们 产生 的 破坏 情 
况 来 看 ，DoS 算是 一 种 很 简单 而 有 效 的 进攻 方式 。 它 的 目的 就 是 拒绝 用 户 的 服务 请 求 ， 破 坏 
组 织 的 正常 运作 ， 最 终 它 会 使 得 部 分 ntemet 连接 和 网 络 系统 失效 。 最 基本 的 DoS 攻击 就 是 
利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ， 致 使 服务 超载 ， 无 法 响应 其 他 请 求 。 

这 些 服 务 资 源 包括 网 络 带宽 ， 文 件 系统 空间 容量 ， 开 放 的 进程 或 者 内 部 连接 。 这 些 攻击 
会 导致 资源 的 荐 乏 ,无 论 计算 机 的 处 理 速度 有 多 快 ， 内 存 容 量 有 多 大 ,互联 网 的 速度 有 多 快 ， 
都 无 法 避免 这 些 攻 击 带 来 的 严重 后 果 。 
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4.5.2 ”操作 系统 漏洞 


操作 系统 的 漏洞 是 指 非法 用 户 未 经 授权 获得 访问 或 者 提高 访问 权限 的 硬件 或 者 软件 特 
征 , 漏洞 是 一 种 形式 的 脆弱 性 。 下 面 通过 几 种 具有 代表 性 的 攻击 来 探讨 与 系统 漏洞 相关 的 问题 。 
1. 口令 的 攻击 术 


黑客 攻击 目标 时 常 把 破译 普通 用 户 的 口令 作为 攻击 的 开始 。 先 用 “finger 远 端 主机 名 ” 
找 出 主机 上 的 用 户 账户 ， 然 后 采用 字典 穷 举 法 进行 攻击 。 它 的 原理 是 : 网 络 上 的 用 户 常 采 用 
英语 单词 或 自己 的 姓氏 作为 口令 。 通 过 一 些 程序 ， 自 动 从 电脑 字典 中 取出 一 个 单词 ， 作 为 用 
户 的 口令 输入 给 远 端的 主机 ， 申 请 进入 系统 。 若 口令 错误 ， 就 按 顺 序 取出 下 一 个 单词 ， 进 行 
下 一 个 尝试 ， 并 一 直 循环 下 去 ， 直 到 找到 正确 的 口令 ， 或 者 把 字典 的 单词 试 完 为 止 。 由 于 这 
个 破译 过 程 由 计算 机 程序 自动 完成 ， 几 个 小 时 就 可 以 把 字典 的 所 有 单词 试 完 ， 这 一 类 程序 的 
典型 代表 是 Let Me Inversion 。 

如 果 这 种 方法 不 能 奏效 ， 黑 客 就 会 仔细 寻找 目标 的 薄弱 环节 和 漏洞 ， 伺 机 夺取 目标 中 存 
放 口 令 的 文件 shadow 或 passwd。 因 为 在 现代 的 UNIX 操作 系统 中 ， 用 户 的 基本 信息 存放 在 
passwd 中 ， 而 所 有 的 口令 都 经 过 DES 加 密 算法 加 密 后 专门 存放 在 一 个 叫 shadow( 影 子 ) 的 文 
件 中 ,并 处 于 严密 的 保护 之 中 。 老 版 本 的 UNIX 没 有 shadow 文件 , 它 所 有 的 口令 都 放 在 passwd 
文件 中 ， 一 旦 窃取 了 口令 文件 ， 黑 客 就 会 用 专门 破解 DES 算法 的 程序 来 破译 用 户 密码 。 

系统 管理 员 也 应 该 定期 运行 一 些 破 译 口 令 的 工具 ， 来 尝试 破译 shadow 文件 ， 如 果 有 用 
户 的 口令 密码 被 破译 出 ， 说 明 这 些 用 户 的 密码 设置 过 于 简单 ， 或 者 长 期 没有 更 改 ， 或 者 是 有 
一 定 的 规律 和 个 人 特征 相 联 系 , 容易 被 黑客 利用 作为 突破 口 , 管理 员 应 该 及 时 通知 这 些 用 户 ， 
及 时 修改 密码 ， 以 防止 被 不 法 入 侵 者 利用 。 

2. lIS Unicode 漏洞 攻击 


1) IIS Unicode 漏洞 描述 

微软 IS 4.0 和 IIS 5.0 在 Unicode 字符 编码 的 实现 中 存在 一 个 安全 漏洞 , 导致 用 户 可 以 远 
程 通过 IS 执行 任意 命令 。 当 IIS 打开 文件 时 ， 如 果 该 文件 包含 Unicode 字符 ， 它 会 对 其 进行 
解码 ， 如 果 用 户 提供 一 些 特殊 的 编码 ， 将 导致 HS 错误 的 打开 或 者 执行 某 些 Web 根 目 录 以 外 


的 文件 。 
对 于 IIS 5.0/4.0 中 文 版 ， 当 IS 收 到 的 URL 请 求 的 文件 名 里 包含 有 一 个 特殊 的 编码 ， 例 
如 : “%cl%hh” 或 者 “%c0%hh”， 它 会 首先 将 其 编码 变 成 : 0xc10xhh， 然 后 尝试 打开 这 个 


文件 。Windows 系统 认为 0xcl0xhh 可 能 是 Unicode 编码 ， 因 此 它 会 首先 对 其 解码 ， 如 果 
0x00<=%hh<0x40 的 话 ， 采 用 的 解码 格式 与 下 面 的 类 似 ; 

%cl%hh 一 (Oxcl-0xc0) * 0x40 + 0xhh 

%c09%hh 一 (0xc0-0xc0) * 0x40 + 0xhh 

JS 其 他 版 本 也 受 影 响 ， 但 是 unicode 编码 相应 的 有 所 不 同 。Windows NT 4.0 编码 为 : 
%c1%9c，Windows 2000 英文 版 编码 为 : %c0%af。 

2) 攻击 程序 

攻击 程序 相对 简单 ， 通 过 TCP Socket 建立 HITP 连接 ， 从 命令 行 界 面 搜集 命令 ， 并 根据 
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目标 服务 器 的 IIS 版 本 不 同 ， 构 造 和 发 送 GET 命令 ， 然 后 获取 IIS 的 反馈 信息 ， 利 用 这 些 信 
息 进行 下 一 步 入 侵 的 操作 。 

下 面 举例 来 说 明 一 个 攻击 的 实例 。 

(1) 测试 环境 

e@ 攻击 平台 : Windows 2000 Server。 

e 目标 机 器 : Windows 2000 Server 简体 中 文 版 (包含 IS 5.0)。 

(2) 攻击 方法 

e@ 运行 iisunicode.exe < 目标 机 了 P/ 域 名 >。 

e 选择 目标 机 IIS 版 本 。 

e 在 cmd> 提 示 符 下 输入 在 目标 机 上 运行 的 命令 ， 回 车 结束 。 

e 程序 打印 目标 机 的 返回 结果 ， 回 到 cmd> 提 示 符 下 接收 下 一 条 命令 。 

e 在 cmd> 下 输入 quit 退出 程序 。 


本 章 小 结 


本 章 主要 介绍 了 各 种 操作 系统 的 安全 问题 ， 包 括 以 下 主要 内 容 。 

4.1、4.2 节 着 重 说 明了 Windows 系统 的 安全 基础 ， 并 以 Windows 98/ME、Windows 
2000/NT/XP 为 例子 ， 列 举 了 一 些 系统 的 安全 漏洞 ， 探 讨 了 相关 的 解决 方法 ， 以 及 Windows 
系统 的 安全 管理 问题 。 

4.3 节 介 绍 UNIX 系统 的 基本 知识 、 文 件 系 统 和 用 户 管理 等 ， 讨 论 了 一 些 系 统 的 网 络 安 
全 问题 及 解决 方法 ， 以 及 系统 的 安全 管理 问题 。 

4.4 节 主要 介绍 了 Linux 系统 的 网 络 安全 基础 、 安 全 漏洞 及 解决 方法 等 。 

4.5 节 介绍 了 操作 系统 常见 的 漏洞 ， 以 及 可 能 被 攻击 的 情形 。 


课 后 练习 


一 、 填空 题 

1. Windows 98 系统 有 三 种 登录 方式 ， 分 别 是 ( )、( jk )。 

2. NTFS 可 以 使 用 大 于 ( )B 的 卷 , FAT 文件 容量 最 大 为 ( )B, FAT32 
在 Windows XP 中 ， 只 能 格式 化 最 多 ( )B 的 卷 。 

3. Windows NT 4.0 中 主要 的 分 布 式 安全 协议 是 ( ); 而 在 Windows 2000 中 ， 
( ) 是 缺 省 的 分 布 式 安全 协议 。 

4. 在 UNIX 操作 系统 登录 过 程 中 ，login 进程 根据 文件 ( ) 和 ( ) 的 内 


容 来 验证 用 户 的 身份 。 
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5. 操作 系统 的 脆弱 性 可 以 分 为 ( 4 )、( ) 三 个 等 级 ， 其 中 
《 ) 类 级 别 的 威胁 性 最 大 。 
二 、 选择 题 
1. Windows 98 系统 的 登录 方式 中 ， 最 不 安全 的 方式 是 ( )。 
A. Windows 登录 。”B. 网 络 用 户 登录 C. 友好 用 户 登 录 D. 远程 登录 
2. 以 下 几 种 文件 格式 中 , 最 大 文件 长 度 不 能 超过 2GB 的 是 ( 。” “), 最 大 文件 长 度 不 能 
过 4GB 的 是 (  )。 


A. NIFS B. FAT C.FAT 32 D. HFS 
3. 以 下 几 种 措施 中 ， 不 属于 修改 注册 表 信 息 来 提高 Windows 98 安全 性 的 是 ( 。“)。 
A. 禁止 非法 用 户 登 录 B. 隐藏 或 禁止 访问 控制 面板 
C. 禁止 访问 注册 表 编 辑 器 D. 禁止 网 络 用 户 登 录 方 式 
4. Windows NT 系统 上 的 重大 安全 漏洞 主要 体现 在 ( ) 方 面 。 
A. 浏览 器 的 安全 漏洞 B.NT 服务 器 的 漏洞 
C. NT 工作 站 的 漏洞 D.NT 系统 的 漏洞 
5. UNIX 操作 系统 的 安全 焦点 是 ( 。 )， 其 中 包括 (  )。 
A. 文件 许可 权 B. 读 许可 权 C. 写 许 可 权 D. 执行 许可 权 
三 、 简 答题 


1. 为 什么 说 Windows 98 的 注册 表 很 重要 ? 如 何 提高 Windows 98 的 安全 性 ? 

2. 为 了 加 强 Windows 2000 账户 的 登录 安全 性 , 应 做 哪些 方面 的 工作 ( 即 账户 的 登录 策略 )。 
3. Windows NT/2000/XP 系统 的 缺陷 漏洞 有 哪些 ? 

4. UNIX 系统 有 哪些 安全 漏洞 ? 可 用 什么 方法 来 防范 ? 

5. Linux 系统 为 何 会 成 为 当前 主流 的 网 络 操作 系统 ? 


| 
Ca 
全 
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随 着 计算 机 犯罪 和 网 络 犯罪 案例 的 不 断 增加 ， 计 算 机 和 网 络 安全 逐渐 成 为 一 个 重大 的 社 
会 问题 。 在 这 样 的 大 环境 下 ， 作 为 最 早 的 安全 防范 研究 课题 的 计算 机 密码 学 ， 走 出 了 军 方 的 
专用 领域 ， 逐 步 转向 教育 、 科 研 和 民用 领域 ， 成 为 保证 计算 机 安全 的 一 项 重要 技术 措施 ， 这 
使 得 信息 加 密 解密 技术 的 研究 成 为 计算 机 科学 工作 者 所 关注 的 重要 研究 领域 。 

密码 学 分 为 密码 编译 和 密码 分 析 两 个 分 支 ， 密 码 编码 学 是 对 信息 进行 编码 以 实现 隐蔽 信 
息 的 一 门 学 科 ， 而 密码 分 析 学 则 是 研究 分 析 破 译 密码 的 学 科 ， 两 者 相互 对 立 而 又 相互 促进 。 
本 章 以 密码 学 的 基础 为 重点 ， 介 绍 相关 的 概念 、 算 法 以 及 密码 学 的 发 展 史 。 

本 章 重点 
古典 密码 学 
对 称 密码 算法 
非 对 称 密码 算法 
数字 签名 
PGP 原理 与 应 用 


5.1 概 述 


密码 学 是 一 门 深奥 的 数学 学 科 ， 密 码 学 协议 为 安全 通信 提供 了 坚定 的 基石 。 密 码 技术 是 
研究 数据 加 密 、 解 密 及 变换 的 科学 ， 涉 及 数学 、 计 算 机 科学 、 电 子 与 通讯 等 诸多 学 科 。 虽 然 
其 理论 相当 高 深 ,但 其 概念 却 十 分 简单 。 密 码 技术 包含 两 方面 密切 相关 的 内 容 ， 即 加 密 和 解 
密 。 加 密 就 是 研究 、 编 写 密码 系统 ， 把 数据 和 信息 转换 成 不 可 识别 的 密 文 的 过 程 ， 而 解密 就 
是 研究 密码 系统 的 加 密 途 径 ， 恢 复数 据 和 信息 本 来 面目 的 过 程 。 加 密 和 解密 过 程 共同 组 成 了 
加 密 系统 。 

在 加 密 系 统 中 ， 要 加 密 的 信息 称 为 明文 (Plan Text)， 明 文 经 过 变换 加 密 后 ， 成 为 密 文 
(Cipher Text)。 由 明文 变 成 密 文 的 过 程 就 称 为 加 密 (Enciphering)， 通 常 由 加 密 算 法 来 实现 。 由 
密 文 还 原 成 明文 的 过 程 称 为 解密 (Deciphering)， 通 常 由 解密 算法 来 实现 。 为 了 有 效 控制 加 密 
和 解密 算法 的 实现 ， 在 其 处 理 过 程 中 ， 必 须 有 通信 双方 共同 掌握 的 专门 信息 参与 其 中 ， 这 种 
信息 就 被 称 为 密 钥 (Key)。 由 此 可 见 ， 对 数据 进行 加 密 ， 是 需要 通过 算法 和 密 钥 来 实现 的 。 

对 于 较为 成 熟 的 密码 体系 ， 其 算法 是 公开 的 ， 密 钥 是 保密 的 。 这 样 使 用 者 简单 地 修改 密 
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钥 ， 就 可 以 达到 改变 加 密 过 程 和 加 密 结果 的 目的 。 通 常 密 钥 由 一 个 小 字符 串 组 成 ， 它 可 以 选 
择 多 种 功能 的 加 密 方 法 中 的 一 种 ， 并 且 可 以 按照 需要 频繁 更 换 。 


5.1.1 ”密码 学 的 历史 


密码 是 一 门 古老 的 技术 , 它 已 经 有 儿 千 年 的 历史 , 自从 人 类 社会 有 了 战争 就 出 现 了 密码 。 
最 先 有 意识 地 使 用 一 些 技术 来 进行 加 密 信息 的 ， 应 该 是 公元 前 的 古 希腊 和 人。 他 们 使 用 一 种 双 
方 都 知道 长 度 和 宽度 的 棍子 ， 把 信息 纵向 写 在 棍子 上 ， 用 纸 把 棍子 于 起 来 ， 信 息 就 可 以 印 在 
了 纸 上 。 如 果 不 知道 棍子 的 长 度 和 宽度 的 人 ， 获 取 了 这 个 信息 ， 是 不 能 正确 翻译 出 信息 的 准 
确 内 容 的 。 古 代 最 著名 的 加 密 方法 应 该 是 凯撒 大 帝 的 3 个 字母 轮换 表 的 加 密 方法 。 

中 国 古代 秘密 通信 的 手段 , 就 已 经 有 一 些 近 似 于 密码 的 锥 形 。《 孙 子 兵 法 》 里 写 道 :“ 兵 
者 ,说 道 也 ”。 要 想 “ 认 道 ”成 功 ， 就 必须 注意 信息 保密 。 宋 代 的 曾 公 亮 、 丁 度 等 编 扎 的 《 武 
经 总 要 》 里 记载 ， 北 宋 时 期 ， 在 作战 中 曾 用 一 首 五 言 律诗 的 40 个 汉字 分 别 代表 40 种 情况 或 
者 要 求 ， 这 种 加 密 方式 已 经 具有 了 密码 机 制 的 特点 。 

在 欧洲 ， 公 元 前 405 年 ， 斯 巴 达 的 将 领 们 便 使 用 了 原始 的 密码 ， 公 元 前 一 世纪 十 罗马 皇 
帝 凯 撤 曾 使 用 有 序 的 单字 表 代替 密码 ;之 后 逐步 发 展 为 密 本 、 多 表 代 替 以 及 加 乱 等 各 种 加 密 
体制 。 

1871 年 ， 由 上 海 大 北 水 线 电报 公司 选用 6899 个 汉字 ， 代 替 四 码 数字 ， 成 为 中 国 最 初 的 
商业 明码 本 ， 同 时 也 涉及 了 由 明码 本 改编 为 密 本 及 进行 加 乱 的 方法 。 

20 世纪 初 , 产生 了 最 初 的 可 以 使 用 的 机 械 式 和 电机 式 密码 机 ， 同 时 出 现 了 商业 密码 机 公 
司 和 市 场 。20 世纪 60 年 代 后 ， 电 子 密码 机 得 到 了 较 快 的 发 展 和 广泛 的 应 用 。 

20 世纪 70 年 代 以 来 ， 一 些 学 者 提出 了 公开 密 钥 体制 ， 即 运用 单 向 函数 的 数学 原理 ， 以 
实现 加 、 脱 密 密 钥 的 分 离 。 加 密 密 钥 是 公开 的 ， 脱 密 密 钥 是 保密 的 。 这 种 新 的 密码 体制 ， 引 
起 了 密码 学 界 的 广泛 关注 和 讨论 。 

密码 破译 是 随 着 密码 的 广泛 使 用 而 逐步 产生 和 发 展 的 。1412 年 , 波斯 人 卡 勒 卡 尚 迪 所 编 
的 百科 全 书 中 ,记载 有 破译 简单 的 代替 密码 的 方法 。 到 16 世纪 末期 , 欧洲 一 些 国家 设 有 专职 
的 破译 人 员 ， 以 破译 截获 的 密 信 ， 破 译 密码 技术 有 了 相当 的 发 展 。1863 年 普鲁士 人 卡 西 斯 基 
所 车 的 《密码 和 破译 技术 》， 以 及 1883 年 法 国人 到 尔 克 霍 夫 所 写 的 《军事 密码 学 》 等 书籍 文 
献 ， 都 对 密码 学 的 理论 和 方法 做 过 一 些 论述 和 讨论 。1949 年 美国 人 Shannon 发 表 了 《秘密 体 
制 的 通信 理论 》 一 文 ， 应 用 信息 论 的 原理 分 析 了 密码 学 中 的 一 些 基本 问题 。 

自 19 世纪 以 来 ， 由 于 电报 特别 是 无 线 电 报 的 广泛 使 用 ， 为 密码 通信 和 第 三 者 的 截获 ， 
提供 了 极为 有 利 的 条 件 。 通信 保密 和 破译 展开 了 一 场 持久 的 、 激 烈 的 信息 隐蔽 战争 。1917 年 ， 
英国 破译 了 德国 外 长 齐 默 尔 曼 的 电报 ， 导 致 了 美国 对 德 宣战 。1942 年 ， 美 国 从 破译 的 日 本 海 
军 电报 中 ， 获 悉 日 军 对 中 途 岛 地 区 的 作战 计划 和 兵力 部 署 ， 扭 转 了 太平 洋 地 区 的 战局 。 在 保 
卫 英 伦 三 岛 和 其 他 许多 的 著名 历史 战役 中 ， 密 码 破译 的 成 功 显示 了 极其 重要 的 战略 意义 ， 这 
些 事例 也 从 侧面 说 明了 密码 破译 的 重要 军事 地 位 和 意义 。 

20 世纪 五 六 十 年 代 ， 电 脑 开 始 发 展 ， 在 计算 机 的 计算 中 有 一 种 “ 模 2 加 ”运算 ， 程 序 成 
为 “ 异 或 ”计算 ， 如 果 配 合 二 进 制 换 位 运算 ， 就 可 以 很 容易 实现 信息 加 密 和 解密 的 功能 。 
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进入 20 世纪 70 年 代 之 后 ， 密 码 学 迎 来 了 新 纪元 ， 开 创 了 现代 密码 学 。 具 有 代表 意义 的 
是 : 1975 年 3 月 , IBM 公司 公开 发 表 了 DES 数据 加 密 标准 ; 1977 年 , 美国 国家 标准 局 (ANSD 
宣布 DES 作为 国家 标准 用 于 非 国家 保密 机 关 ， 开 创 了 公开 全 部 密码 算法 的 先例 ，1976 年 ， 
Diffie 和 Hellam 提出 不 仅 密码 本 身 可 以 公开 ， 而 且 加 密 密 钥 也 是 可 以 公开 的 ， 只 要 解密 密 钥 
保持 其 隐秘 性 就 可 以 确保 信息 传输 的 安全 和 可 靠 ， 这 就 是 加 密 密 钥 和 解密 密 钥 不 同 的 非 对 称 
密码 体系 ， 又 称 为 公 钥 密码 体系 ，1978 年 ，Rivest、Shamir 和 Adleman 三 人 合作 ， 提 出 了 第 
一 个 适用 的 公 钥 密码 算法 ， 即 著名 的 RSA 密码 算法 。 一 直到 现在 ，DES 和 RSA 两 个 密码 算 
法 都 是 现代 密码 学 的 经 典范 例 。 

当今 世界 ， 主 要 国家 的 政府 和 军队 都 十 分 重视 密码 工作 ， 有 的 设立 庞大 机 构 ， 从 财政 预 
算 里 拨 出 巨额 的 经 费 ， 集 中 数 以 万 计 的 专家 和 科技 人 员 ， 投 入 大 量 的 昂贵 的 计算 机 和 其 他 电 
子 设 备 进行 研究 工作 。 
5.1.2 ”密码 学 的 定义 

密码 学 这 个 词 是 从 两 个 意思 为 “密码 书写 ”的 希腊 字 演 变 而 来 的 ， 它 是 一 门 隐匿 消息 的 
艺术 和 科学 。 密 码 分 析 ， 就 是 破解 密码 ， 密 码 学 的 基础 部 件 是 密码 系统 。 

密码 学 的 目标 是 保持 加 密 信 息 的 机 密 性 。 假 设 一 个 攻击 者 希望 破解 一 段 密 文 ， 标 准 的 密 
码 学 方法 假设 他 知道 加 密 明 文 的 算法 ， 而 不 知道 具体 的 密 钥 ， 那 么 他 可 能 通过 以 下 三 种 方式 
进行 攻击 。 

1. 惟 密 文 攻击 

攻击 者 只 拥有 信息 的 密 文 ， 他 的 目的 是 找到 相应 的 明文 。 

2. 已 知 明 文 攻击 

攻击 者 拥有 密 文 和 这 些 密 文 对 应 的 明文 ， 目 的 是 找到 以 上 明文 密 文 所 用 过 的 密 钥 。 

3. 选择 明文 攻击 

攻击 者 可 以 对 一 些 特 定 的 明文 进行 加 密 ， 可 以 得 到 明文 所 对 应 的 密 文 ， 目 的 也 是 找到 以 
上 明文 密 文 所 用 过 的 密 钥 。 

一 套 好 的 密码 系统 应 该 能 够 抵抗 以 上 三 种 类 型 的 攻击 。 


5.2 ”密码 学 的 基本 概念 


5.2.1 基本 概念 


密码 学 是 研究 加 密 和 解密 变换 的 一 门 科 学 。 通 常情 况 下， 人们 将 可 以 看 懂 的 文本 称 为 明 
文 , 用 “M” 表 示 。 需 要 注意 的 是 ，M 可 以 不 是 ASCII 码 文 本 ， 它 可 以 是 任何 类 型 的 未 加 密 
数据 。 将 明文 变换 成 的 不 易 看 懂 的 文本 就 是 密 文 ， 这 个 过 程 就 叫做 加 密 ; 加 密 的 逆 过 程 ， 即 
把 密 文 翻译 成 为 明文 的 过 程 , 就 是 解密 。 遵循 ISO 7498 一 2 标准 的 定义 , 加 密 的 术语 称 为 “ 密 
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码 (EncipheD ”和 “ 解 译 密码 (DecipheD”。 明 文 与 密 文 的 相互 变换 ， 是 一 个 可 逆 的 过 程 ， 并 
且 只 存在 唯一 的 、 不 存在 误差 的 可 道 变换 。 完 成 加 密 和 解密 的 算法 称 为 密码 体 青 
加 密 和 解密 的 过 程 可 以 用 图 5-1 来 表示 。 


wx | 8  |- 呈 Rhg 


图 5-1 加 密 和 解密 


一 
o 


使 消息 保密 的 科学 和 技术 叫做 密码 编码 学 ， 从 事 此 行业 的 专业 人 员 叫 密码 编码 者 或 者 密 
码 程序 员 。 密码 分 析 者 是 从 事 密码 分 析 的 专业 人 员 , 密码 分 析 学 就 是 破译 密 文 的 科学 和 技术 。 
作为 数学 的 一 个 分 支 的 密码 学 ， 包 括 密码 编 码 学 和 密码 分 析 学 两 个 方面 ， 精 于 此 道 的 人 称 为 
密码 学 家 ， 现 代 的 密码 学 家 通常 也 是 理论 数学 家 。 

明文 用 M( 消 息 ) 或 者 P( 明 文 ) 表 示 。 对 于 计算 机 专业 的 理解 , P 是 简单 的 二 进 制 数据 ， 明 
文 可 以 被 传送 或 者 存储 ， 无 论 在 哪 种 情况 ，M 指 待 加 密 的 消息 。 

密 文 用 C 来 表示 ， 它 也 是 二 进 制 数据 ， 有 时 候 和 M 一 样 大 ， 有 时 候 稍微 大 一 些 ， 有 具体 
情况 视 加 密 的 算法 而 定 ， 有 时 候 通过 一 定 的 算法 压缩 后 ，C 也 可 能 比 P 要 小 一 些 。 加 密 函 数 
E 作用 于 M 得 到 密 文 C， 用 数学 公式 表示 为 : 


E(MW=C 
相反 的 ， 解 密 函 数 D 作用 于 C 产 生 M: 

D(C=M 

先 加密 后 解密 消息 ， 原 始 的 明文 就 会 被 回复 ， 下 面 的 等 式 必须 成 立 ; 
D(EWMW)=M 


意思 即 为 : 加 密 算法 和 解密 算法 是 一 个 可 逆 的 过 程 。 
5.2.2 ”密码 系统 的 安全 性 


密码 算法 是 用 于 加 密 和 解密 的 数学 函数 ， 通 常情 况 下 ， 有 两 个 相关 的 函数 : 一 个 用 于 加 
密 ， 一 个 用 于 解密 。 

如 果 算 法 的 保密 性 是 基于 保持 算法 的 秘密 和 安全 ， 这 种 算法 称 为 受 限 制 的 算法 。 如 果 有 
人 无 意 中 暴 露 了 这 个 算法 的 秘密 ， 所 有 人 都 必须 改变 之 前 的 算法 。 更 加 粳 糕 的 是 ， 受 限制 的 
密码 算法 不 可 能 进行 质量 控制 或 标准 化 。 因 为 每 个 组 织 和 用 户 必 须 有 他 们 各 自 的 特有 算法 ， 
而 尽 可 能 地 避免 与 别人 的 相同 。 

尽管 有 一 些 或 多 或 少 的 缺陷 ， 受 限制 的 算法 对 于 低 安全 级 别 的 应 用 来 说 还 是 足以 应 付 
的 ， 用 户 也 许 并 没有 意识 到 ， 或 者 压根 不 在 乎 他 们 系统 中 存在 的 那些 问题 。 

现代 密码 学 ,用 密 钥 来 解决 了 这 个 问题 ， 密 钥 用 K(Key) 来 表示 。K 可 以 是 很 多 数值 里 的 
任意 值 。 密 钥 K 的 可 能 值 的 范围 叫做 密 钥 空间 。 加 密 和 解密 算法 都 使 用 这 个 密 钥 ( 即 运算 都 
依赖 于 密 钥 ， 并 用 天 表示 )， 这 样 ， 加 密 和 解密 的 过 程 则 变 成 如 图 5-2 所 示 。 
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| 

a 密 钥 

0 加 密 密 文 时 解密 原始 明文 一 > 
图 5-2 使 用 同一 个 密 钥 的 加 密 解 密 


有 些 算法 里 , 加 密 和 解密 的 程序 使 用 不 同 的 密 钥 进行 相关 的 计算 , 也 就 是 说 加 密 密 钥 ( 我 
们 称 为 Kl) 和 解密 密 钥 (我 们 这 里 姑且 称 为 K2) 可 以 不 同 ， 情 况 如 图 5-3 所 示 。 


加 密 解密 
密 钥 密 钥 
明文 加 密 密 文 解密 原始 明文 一 和 


图 5-3 ”使 用 两 个 不 同 密 钥 的 加 密 解 密 


所 有 这 些 算 法 的 安全 性 都 基于 密 钥 的 安全 性 ， 而 不 是 基于 算法 的 细节 的 安全 性 。 这 就 意 
味 着 算法 可 以 公开 ， 也 可 以 被 分 析 ， 可 以 大 量 生产 使 用 算法 的 产品 ， 即 便 窃 听 者 知道 了 算法 
也 没有 关系 只 要 不 知道 具体 的 密 钥 ， 就 无 法 得 知 信息 的 真实 内 容 。 


5.2.3 ”密码 体制 分 类 


密码 系统 由 算法 以 及 所 有 可 能 的 明文 、 密 文 、 密 钥 组 成 。 基 于 密 钥 的 算法 通常 有 两 类 ; 
对 称 算法 和 公开 密 钥 算法 。 对 称 算法 有 时 又 叫 传统 密码 算法 ， 就 是 加 密 密 钥 能 够 从 解密 密 铀 
中 推算 出 来 ， 反 之 亦 然 。 在 大 多 数 对 称 算法 中 ， 加 密 、 解 密 密 钥 是 相同 的 。 这 些 算法 也 叫 秘 
密 密 钥 算法 或 者 单 密 密 钥 算法 , 它 要 求 发 送 者 和 接收 者 在 安全 通信 之 前 , 协商 确定 一 个 密 钥 。 
对 称 算 法 的 安全 性 依赖 于 密 钥 ， 汇 露 密 钥 就 意味 着 任何 人 都 能 对 信息 进行 加 密 和 解密 ， 只 要 
通信 需要 保密 ， 密 钥 就 必须 保密 。 

对 称 算法 可 以 分 为 两 类 : 一 类 只 对 明文 的 单个 比特 ， 有 时 候 也 针对 字 节 ， 运 算 的 算法 称 
为 序列 算法 或 者 序列 密码 。 另 一 类 算法 是 对 明文 的 一 组 比特 进行 运算 , 这 些 比特 组 称 为 分 组 ， 
相应 的 算法 称 为 分 组 算法 或 者 分 组 密码 。 

公开 密 钥 算 法 ， 也 叫 非 对 称 算法 。 它 的 设计 思路 是 : 用 于 加 密 的 密 钥 不 同 于 用 于 解密 的 
密 钥 ， 而 且 解 密 密 钥 不 能 根据 加 密 密 钥 计 算出 来 (至 少 在 合理 假定 的 长 时 间 内 )。 之 所 以 叫做 
公开 密 钥 算 法 ， 是 因为 加 密 密 钥 能 够 公开 ， 即 陌生 人 能 够 用 加 密 密 钥 加 密 信息 ， 但 只 有 用 相 
应 的 解密 密 钥 才能 解密 信息 。 在 这 些 系统 中 ， 加 密 密 钥 叫做 公开 和 密 钥 (简称 公 钥 )， 解 密 密 钥 
叫做 私人 密 钥 (简称 私 钥 )， 私 钥 有 时 候 也 叫做 秘密 密 钥 。 


5.2.4 ”对 密码 系统 的 攻击 


对 密码 进行 分 析 的 尝试 称 为 攻击 。 荷 兰 人 A.Kerckhoffs 最 早 在 19 世纪 阐明 了 密码 分 析 
的 一 个 基本 假设 ， 这 个 假设 就 是 秘密 必须 全 部 包含 在 密 钥 中 。Kerckhoffs 假设 密码 分 析 者 已 
经 有 了 密码 的 算法 和 全 部 实现 的 详细 技术 资料 。 
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一 般 来 说 ， 常 用 的 密码 攻击 有 7 类， 如 上 所 述 ， 我 们 都 假设 密码 分 析 者 已 经 知道 了 每 一 
类 加 密 算法 的 全 部 技术 内 容 。 


1. 惟 密 文 攻击 
密码 分 析 者 有 一 些 消息 的 密 文 ， 这 些 消息 都 是 用 同一 个 加 密 算法 加 密 。 
2. 已 知 明文 攻击 


密码 分 析 者 不 仅 可 以 得 到 一 些 消息 的 密 文 ， 而 且 也 知道 这 些 消 息 的 明文 。 

3. 选择 明文 攻击 

分 析 者 不 仅 可 以 得 到 一 些 消息 的 密 文 和 相应 的 明文 ， 而 且 也 可 选择 被 加 密 的 明文 。 

4. 自 适 应 明文 攻击 

这 是 选择 明文 攻击 的 特殊 情况 。 密 码 分 析 者 不 仅 能 够 选择 被 加 密 的 明文 ， 也 能 基于 以 前 
加 密 的 结果 修正 这 个 选择 。 

5. 选择 密 文 攻击 

密码 分 析 者 能 够 选择 不 同 的 被 加 密 的 密 文 ， 并 可 以 得 到 对 应 的 解密 的 明文 。 

6. 选择 密 钥 攻 击 

这 种 攻击 并 不 表示 密码 分 析 者 能 够 选择 密 钥 ， 它 只 表示 密码 分 析 者 具备 不 同 密 钥 之 间 的 
关系 的 相关 知识 。 这 种 方法 有 些 奇 特 ， 不 是 非常 切合 实际 。 

7. 软 磨 硬 泡 (Rubber-hose) 攻 击 

密码 分 析 者 威胁 、 勒 索 或 折磨 某 人 ， 直 到 获取 破解 密码 系统 的 密 钥 为 止 。 

已 知 明文 攻击 和 选择 性 明文 攻击 ， 比 人 们 想象 中 的 还 要 常见 。 已 知 明文 攻击 在 二 战 中 已 
经 被 成 功 地 用 来 破译 敌国 的 密码 ， 例 如 德国 和 日 本 的 密码 系统 。 

需要 着 重 指出 的 是 ， 切 记 Kerckhoffs 的 假设 : 如 果 在 设计 密码 系统 的 时 候 ， 将 新 的 密码 
系统 设计 成 为 高 度 依赖 于 攻击 者 不 知道 算法 的 机 制 ， 这 样 的 系统 注定 会 失败 。 历 史上 这 样 的 
教训 已 经 不 少 ，1994 年 RC4 算法 就 被 人 破译 了 。 最 好 的 算法 是 那些 已 经 被 相关 机 构 公 开 ， 
并 经 过 世界 上 最 好 的 密码 分 析 家 们 多 年 的 攻击 ， 仍 然 不 能 破译 的 算法 。 


5.3 上 古典 密码 学 


5.3.1 凯撒 密码 


凯撒 密码 是 最 古老 的 替换 密码 ， 据 说 是 Julius Casesar 发 明 的 ， 因 此 而 得 名 。 替 换 密码 是 
用 一 组 密 文字 母 来 代替 一 组 明文 字母 的 隐藏 明文 的 方法 ， 这 种 加 密 方法 保持 明文 字母 的 排列 
位 置 不 变 。 以 英文 字母 为 例 ， 它 把 D 换 成 a, 卫 换 成 了 b,，F 换 成 了 c， 以 此 类 推 …… 也 就 是 
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说 密 文 的 字母 相对 于 明文 字母 循环 移动 3 个 位 置 ， 因 此 ， 凯 撤 密码 又 被 称 为 循环 移 位 密码 。 
如 果 将 凯撒 加 密 法 通用 化 ， 即 允许 加 密 字 母 不 仅 移动 3 个 位 置 ， 而 是 可 以 移动 用 户 自 定义 的 
NN 个 位 置 ， 在 这 样 的 情况 下 ，N 就 是 通常 加 密 算法 里 的 密 钥 ， 也 就 是 这 个 循环 移 位 密码 中 的 
密 钥 KK。 这 种 密码 的 优点 是 ， 密 钥 简单 ， 易 于 记忆 ， 但 是 由 于 明文 和 密 文 的 对 应 关系 过 于 简 
单 ， 所 以 安全 性 也 较 差 。 


5.3.2 ” 仿 射 密码 


对 于 凯撒 密码 的 一 种 改进 方法 是 : 使 明文 字母 和 密 文 字母 之 间 的 映射 关系 没有 一 定 的 规 
律 可 循 。 例 如 ， 将 26 个 字母 ， 都 映射 成 另外 的 字母 ， 如 表 5-1 所 示 。 


表 5-1 单字 母 映射 表 


EVN 
男 一 种 更 加 复杂 的 映射 方式 ， 是 由 一 个 不 同 字 母 组 成 的 单词 或 者 少 于 26 个 字母 的 字符 


串 ， 例 如 ， 密 钥 为 JUSTIN， 那 么 就 会 得 到 表 5-2 所 示 的 映射 关系 。 


表 5-2 某 个 单词 或 字母 串 为 密 钥 的 映射 表 


不 过 ， 如 果 给 出 一 段 密 文 ， 还 是 可 以 找到 一 些 破解 的 突破 口 。 一 种 最 显而易见 的 方法 是 
猜测 明文 中 可 能 出 现 的 单词 或 者 短语 。 有 重复 模式 的 单词 以 及 使 用 频率 很 高 的 单词 ， 以 及 党 
用 作 起 始 和 结束 的 字母 都 可 以 给 破译 者 猜测 字母 排序 的 一 些 线索 。 另 一 种 方法 是 利用 自然 语 
言 的 统计 数据 ， 根 据 使 用 和 组 合 的 概率 的 高 低 进 行 筛选 。 由 于 替换 密码 是 明文 字母 与 密 文字 
母 之 间 的 一 一 映射 ， 所 以 在 密 文中 仍然 保存 了 明文 中 字母 的 分 布 和 出 现 概率 ， 这 就 使 得 这 种 
加 密 方法 的 安全 性 大 大 降低 。 


5.3.3 维 吉 尼 亚 密码 


针对 上 述 密 码 算法 的 不 足 ， 一 种 改进 的 算法 应 运 而 生 ， 它 就 是 Vigenere 密码 ( 维 吉 尼 亚 
密码 )。Vigenere 密码 利用 长 密 钥 可 以 隐匿 消息 的 统计 特性 ， 选 择 一 个 密 钥 序 列 ， 该 密 钥 序列 
用 一 个 字符 串 表 示 。 密 钥 的 字母 作用 于 对 应 的 明文 字母 ， 当 到 达 密 钥 的 最 后 一 个 字母 时 ， 密 
钥 又 重新 对 应 后 面 的 明文 。 密 钥 的 长 度 成 为 密 文 的 周期 。 表 5-3 给 出 一 个 表格 结构 ， 用 于 快 
速 有 效 的 加 密 。 因 为 Vigenere 密码 需要 几 个 不 同 的 字母 作为 密 钥 ， 所 以 这 种 形式 的 密码 称 为 
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多 字母 蔡 换 密码 。 
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我 们 举 一 个 实例 来 说 明 这 个 密码 表 的 用 法 : 选择 如 下 一 行 句 子 ， 并 且 用 密 钥 “WORLD” 
作为 加 密 密 钥 ， 那 么 获得 的 密 文 如 下 所 示 。 
密 钥 : WORL DW ORLD W ORL DW ORLDWORLD 
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明文 : LIFE ISLIKE ABOXOF CHOCOLATE 
密 文 : HWWP LO ZZVH W PFI RB QYZGKZREH 


重合 指数 用 于 测量 密 文中 的 字母 频率 的 差异 ， 它 被 定义 为 从 密 文 中 随机 选择 的 两 个 字母 


可 能 相同 的 概率 。 重 合 指数 越 低 ， 则 表明 密 文 字母 变化 越 少 ， 密 文 的 周期 也 越 长 ， 这 里 探讨 


的 是 英文 的 语言 模式 。 


多 年 以 来 ，Vigenere 密码 曾经 一 度 被 认为 是 不 可 被 破解 的 。 后 来 一 名 普鲁士 骑兵 军官 


Kasiski 发 现 ， 当 密 钥 的 字母 重复 出 现在 相同 的 字符 上 时 ， 密 文字 母 会 发 生 重 复 ， 
间 的 字母 数 是 密 文 周期 的 倍数 ， 因 而 Vigenere 密码 的 破解 也 是 有 迹 可 循 的 。 


E 复 字母 之 


实验 证 明 ， 简 单 的 Vigenere 密码 是 可 以 通过 手 算 破解 的 ; 但 是 对 于 复杂 的 密码 ， 攻 击 方 


法 就 只 能 通过 计算 机 计算 来 实现 。 
5.3.4 ”Playfair 密码 


与 上 述 的 Vigenere 密码 一 样 ，Playfair 密码 也 是 一 种 多 字母 代替 密码 ， 区 别 是 Playfair 密 


码 用 的 是 二 字母 代替 密码 。 


Playfair 密码 是 英国 曾 在 第 一 次 世界 大 战 期 间 使 用 过 的 一 种 二 字母 代替 密码 。Playfair 密 


人 码 密 钥 由 25 个 英文 字母 (J 与 相同) 组 成 的 五 阶 方 阵 如 表 5-4 所 示 。 


表 5-4 ”Playfair 密码 的 密 钥 方 阵 


每 一 对 明文 字母 Mi 和 M 都 根据 下 面 6 条 规则 进行 加 密 。 
1. 规则 一 


若 Mi 和 M 在 密 钥 方 阵 中 的 同一 行 , 则 密 文字 母 C1 和 Cs 分 别 是 Mi 和 Ms 右边 的 字母 (第 


一 列 视 为 在 第 五 列 的 右边 )。 
2. 规则 二 
如 果 Mi 和 Ms 在 同一 列 ， 则 Ci 和 Cs 分 别 是 Mi 和 Mo 下 面 的 字母 。 
3. 规则 三 


如 果 Mi 和 M2 位 于 不 同 的 行 和 列 ， 则 Ci 和 Cs 是 以 Mi 和 M2 为 顶点 组 成 的 长 方形 中 的 


另外 两 个 顶点 。 其 中 Cl 和 Mb、Ci 和 M2 分 别 在 同一 行 。 
4. 规则 四 


如 果 Mi=M2， 那 么 MI 和 M2 之 间 插 进 一 个 无 效 字 母 ， 例 如 可 以 为 又。 
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5. 规则 五 

如 果 明 文 信息 一 共有 奇数 个 字母 ， 那 么 在 明文 的 末尾 加 上 一 个 无 效 字母 。 
6. 规则 六 

字母 I 和 J 可 看 成 是 同一 个 字母 。 

举 一 个 例子 ， 假 设 明文 为 Computer， 用 Playfair 法 加 密 的 结果 则 如 下 。 


明文 : CO MP UT ER 
密 文 : OD TH MU GH 


5.3.5 ”Hill 密码 


Hil 密码 也 叫 方程 加 密 法 ， 是 Hill 发 明 的 以 联 立方 程 为 基础 的 加 密 法 ， 因 此 而 得 名 。 用 
X 表示 明文 ，Y 表示 密 文字 母 。 其 数字 可 以 根据 表 5-5 中 的 任意 建立 的 字母 来 定义 。 


表 5-5 Hill 密码 字母 表 


算法 规定 ， 加 密 序列 以 四 个 明文 字母 为 一 组 ， 所 以 加 密 算法 可 以 用 四 元 方程 组 来 表示 ， 
因此 此 算法 又 称 为 四 元 代替 法 ， 加 密 时 用 下 列 的 加 密 方程 。 

Yi=8XIH6X2+9X35X4 MOD 26 

Y=6X1+9X2+5X3+10X4 MOD 26 

Y3=5XI+8X2+4X3+9X4 MOD 26 

Ys=10X1+6Xs+11X3t+4X4 MOD 26 

根据 加 密 方程 ， 可 以 得 到 解密 方程 的 公式 如 下 。 

X1=23Y1+20Ys+5Y3tlY4 MOD26 

X=2Y1+11Yst+18Y3tlYs MOD26 

Xs=2Y1+20Y2+6Y3+25Y4 MOD 26 

Xs=25Y1+2Y2+22Y3+25Y4 MOD 26 

举 一 个 实例 ， 假 设 给 明文 HELP 加 密 。 

首先 ， 根 据 解密 公式 可 以 将 明文 变换 成 一 组 数字 。 

H X=5 

E X=9 

LL. X22 

P X21 

用 加 密 算 法 方程 组 加 密 。 

区 
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Yz-15 
Y3=10 
Ye14 
再 译 成 字母 ， 密 文 就 是 UQZY， 解 密 时 用 解密 方程 组 进行 计算 就 可 以 得 到 原 明 文 。 


5.4 对 称 密码 算法 


5.4.1 ”对 称 密码 算法 概述 


如 前 文 所 述 : 对 称 算法 有 时 又 叫 传统 密码 算法 ， 就 是 加 密 密 钥 能 够 从 解密 密 钥 中 推算 出 
来 ， 反 之 亦 然 。 在 大 多 数 对 称 算法 中 ， 加 密 、 解 密 密 钥 是 相同 的 。 这 些 算法 也 叫 秘密 密 钥 算 
法 或 者 单 密 密 钥 算法 ， 它 要 求 发 送 者 和 接收 者 在 安全 通信 之 前 ， 协 商 确 定 一 个 密 钥 。 对 称 算 
法 的 安全 性 依赖 于 密 钥 ， 汇 露 密 钥 就 意味 着 任何 人 都 能 对 信息 进行 加 密 和 解密 ， 只 要 通信 和 需 
要 保密 ， 密 钥 就 必须 保密 。 下 面 介 绍 几 种 常见 的 对 称 密码 算法 。 
5.4.2 DES 算法 


数据 加 密 标准 (Data Encryption Standard, DES) 是 美国 国家 标准 局 于 1977 年 公布 的 由 IBM 
公司 研制 的 加 密 算法 。DES 算法 被 授权 用 于 所 有 非 保密 的 通信 场合 ， 后 来 还 曾 被 国际 标准 组 
织 采 纳 为 国际 标准 。DES 算法 是 一 种 典型 的 按 分 组 方式 工作 的 单 密 钥 密码 算法 ， 它 的 基本 思 
想 是 将 一 个 二 进 制 序列 的 明文 分 组 ， 然 后 用 密 钥 对 该 明文 进行 奉 代 和 置换 ， 最 后 得 到 密 文 。 
DES 算法 是 对 称 的 ， 既 可 以 用 于 加 密 也 可 以 用 于 解密 。 它 的 巧妙 之 处 在 于 ， 除 了 密 钥 输入 顺 
序 之 外 , 加 密 和 解密 的 步骤 几乎 完全 相同 ， 从 而 在 制作 DES 硬件 芯片 时 很 容易 实现 标准 化 和 
通用 化 ， 很 符合 现代 通信 和 批量 生产 的 需要 。 

DES 算法 将 输入 的 明文 分 为 64 位 的 数据 分 组 ， 使 用 64 位 的 密 钥 进行 变换 ， 每 个 64 位 
的 明文 分 组 数据 经 过 初始 置换 、16 次 迭代 和 逆 置 换 这 三 个 主要 的 步 台 ， 最 后 输出 得 到 64 位 
的 密 文 。 在 友 代 之 前 ， 首 先 要 对 64 位 的 密 钥 进行 变换 ， 密 钥 去 掉 第 8、 第 16、 第 24 到 第 64 
位 减少 至 56 位 ， 去 掉 的 那 8 位 视 为 奇偶 校 验 位 ,不 包含 有 密 钥 信息 ， 所 以 实际 的 密 钥 长 度 只 
有 56 位 。DES 算法 的 加 密 流 程 如 图 5-4 所 示 。 

DES 算法 的 初始 置换 过 程 为 : 输入 64 位 明文 ， 按 初始 置换 规则 把 输入 的 64 位 数据 按 位 
重新 组 合 ， 并 把 输出 分 为 左右 两 部 分 , 每 部 分 长 度 为 32 位 。 在 这 里 用 到 的 初始 置换 规则 如 表 
5-6 所 示 。 

这 个 置换 表 的 含义 是 : 将 输入 的 第 58 位 换 到 第 1 位 ， 第 50 位 换 到 第 2 位 ， 第 42 位 换 


5-6 的 相应 位 置 的 数值 。 
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64 位 密 文 


图 5-4 DES 加 密 过 程 


表 5-6 初始 置换 规则 表 


58 
60 
62 


57 
59 
61 
63 


这 个 置换 表 的 含义 是 : 将 输入 的 第 58 位 换 到 第 1 位 ， 第 50 位 换 到 第 2 位 ， 第 42 位 换 
到 第 3 位 ， 以 此 类 推 …… 最 后 一 位 是 原来 的 第 7 位 。 也 就 是 说 ， 置 换 前 的 位 置 分 别 是 
DID2D3……Da， 经 过 初始 置换 之 后 ， 左 边 部 分 为 DssDsoD42……Ds， 就 是 表 5-6 的 上 半 部 分 
数据 ;右边 部 分 为 DzD4D4……D7， 也 就 是 表 5-6 的 下 半 部 分 数据 。 具 体位 置 请 参看 表 5-6 
的 相应 位 置 的 数值 。 

每 个 迭代 过 程 实际 上 包括 四 个 独立 的 操作 。 首 先是 右 半 部 分 由 32 位 扩展 为 48 位 ， 然 后 

与 密 钥 的 某 一 个 形式 组 合 ， 其 结果 被 替换 成 另 一 个 结果 ， 同 时 其 位 数 又 压缩 到 了 32 位 。 这 
32 位 数据 经 过 置换 再 与 其 左 半 部 分 相 加 ， 结 果 产 生 新 的 右 半 部 分 。 
每 一 个 右 半 部 分 都 经 过 扩展 排列 , 由 32 位 扩展 为 48 位 ,扩展 过 程 置换 位 的 顺序 的 同时 ， 
也 重复 了 某 些 位 。 扩 展 的 目的 有 两 个 : 使 得 密 文 中 间 结 果 的 一 半 与 密 钥 相 匹配 ， 产 生 一 个 较 
长 的 结果 后 又 将 其 压缩 。 扩 展 排 列 由 表 5-7 定义 ， 由 于 是 扩展 排列 ， 所 以 有 些 位 将 不 止 移 至 
一 个 输出 位 上 。 
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表 5-7 扩展 排列 表 


32 4 5 
4 8 9 
8 12 13 
12 16 17 
16 20 21 

20 24 25 

24 28 29 

28 32 1 


1 于 每 隔 8 位 删除 一 位 ，64 位 的 密 钥 变 成 56 位 ，56 位 的 密 钥 经 过 PC-1 置换 ， 输 出 顺 
序 如 表 5-8 所 示 。 


表 5-8 PC-1 置换 表 


57 9 
1 18 
10 27 
19 36 
63 15 
22 
14 29 
21 4 


在 一 轮 的 每 一 步 ， 密 钥 被 分 成 包含 各 28 位 的 两 个 部 分 ， 每 个 部 分 都 左 移 由 一 个 十 进 制 
数 指明 的 若干 位 ,然后 将 两 部 分 评介 起 来 。 随后 对 56 位 进行 置换 ， 作 为 该 轮 的 密 钥 。 每 轮 的 
密 钥 与 经 过 扩展 来 自 上 面 的 右 半 部 分 进行 异 或 相 加 。 

在 每 一 轮 中 ， 密 钥 的 两 个 半 部 分 独立 地 循环 左 移 ， 移 动 次 数 由 一 个 指定 的 数字 来 决定 。 
表 5-9 为 各 轮 需要 移动 的 位 数 。 


表 5-9_ 各 轮 移 动 的 位 数 表 


移 位 之 后 ， 从 56 位 中 抽取 48 位 用 作 与 已 扩展 的 右 半 部 分 相 异 或 ， 表 5-10 给 出 了 选择 
48 位 的 排列 。 
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表 5-10 选择 排列 表 


14 1 号 
3 21 10 
23 26 8 
16 13 2 
41 47 55 
30 33 48 
44 34 53 
46 29 32 


至 此 ， 得 到 48 位 的 数据 ， 再 将 这 48 位 按 顺序 分 成 8 组 ， 每 组 6 位 ， 这 8 组 分 别 通过 变 
换 ， 由 每 组 输入 6 位 变 成 每 组 输出 4 位 ， 从 而 得 到 32 位 的 数据 。 这 个 32 位 的 数据 再 经 过 了 


置换 ，P 置换 的 置换 表 如 表 5-11 所 示 。 
表 5-11 P 置换 表 
16 六 20 21 
29 12 28 17 
1 15 23 26 
5 18 31 10 
2 8 24 14 
32 27 3 9 
19 13 30 6 
22 11 4 25 


至 此 ， 整 个 加 密 过 程 完成 。DES 的 解密 过 程 和 DES 加 密 类 似 ， 只 是 将 16 轮 的 子 密 钥 序 
列 Ki,K2,…,Kie 的 顺序 颠倒 过 来 使 用 ， 即 第 一 轮 使 用 Ki6， 第 二 轮 使 用 Kis， 第 16 轮 使 用 Ki， 
证 明 的 过 程 在 此 不 再 袭 述 ， 有 兴趣 的 读者 可 以 查阅 相关 技术 文献 。 


5.4.3 ”AES 算法 


传统 的 DES 由 于 只 有 56 位 的 密 钥 ， 因 此 已 经 不 适应 当今 分 布 式 开放 网 络 对 数据 加 密 安 
全 性 的 要 求 。1997 年 RSA 数据 安全 公司 发 起 了 一 项 “DES 挑战 赛 ” 的 活动 ， 志 愿 者 四 次 分 
别 用 四 个 月 、41 天 、56 个 小 时 和 22 个 小 时 破解 了 其 用 56 位 密 钥 DES 算法 加 密 的 密 文 。 即 
DES 加 密 算法 在 计算 机 速度 提升 后 的 今天 被 认为 是 不 安全 的 。 因 此 ， 寻 找 一 种 可 以 替代 DES 
的 新 加 密 算法 已 经 势 在 必 行 。 

密码 学 中 的 高 级 加 密 标准 (Advanced Encryption Standard，AES)， 又 称 Rijndael 加 密 法 ， 
是 美国 联邦 政府 采用 的 一 种 区 块 加 密 标准 。AES 是 美国 国家 标准 技术 研究 所 GNIST) 旨 在 取代 
DES 的 21 世纪 的 加 密 标 准 。 
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AES 是 美国 联邦 政府 采用 的 商业 及 政府 数据 加 密 标准 , 预计 将 在 未 来 几 十 年 里 代替 DES 
在 各 个 领域 中 得 到 广泛 应 用 。AES 提供 128 位 密 钥 ， 因 此 ，128 位 AES 的 加 密 强 度 是 56 位 
DES 加 密 强 度 的 1021 倍 还 多 。 假 设 可 以 制造 一 部 可 以 在 1 秒 内 破解 DES 密码 的 机 器 ， 那 么 
使 用 这 台 机 器 破解 一 个 128 位 AES 密码 需要 大 约 149 亿 万 年 的 时 间 。 更深 一 步 比 较 而 言 , 宇 
宙 一 般 被 认为 存在 了 还 不 到 200 亿 年 。 因此 可 以 预计 , 美国 国家 标准 局 倡导 的 AES 即将 作为 
新 标准 取代 DES。 

经 过 5 年 的 甄选 流程 , 高 级 加 密 标准 由 美国 国家 标准 与 技术 研究 院 (NIST) 于 2001 年 11 
月 26 日 发 布 于 FIPS PUB 197， 并 在 2002 年 5 月 26 日 成 为 有 效 的 标准 。2006 年 ， 高 级 加 密 
标准 已 然 成 为 对 称 密 钥 加 密 中 最 流行 的 算法 之 一 。 

AES 的 基本 要 求 是 ， 采 用 对 称 分 组 密码 体制 ， 密 钥 长 度 的 最 少 支持 为 128、192、256， 
分 组 长 度 128 位 , 算法 应 易于 各 种 硬件 和 软件 实现 。1998 年 NIST 开始 AES 第 一 轮 分 析 、 测 
试 和 征集 ， 共 产生 了 15 个 候选 算法 。1999 年 3 月 完成 了 第 二 轮 AES2 的 分 析 、 测 试 。2000 
年 10 月 2 日 美国 政府 正式 宣布 选中 比利时 密码 学 家 Joan Daemen 和 Vincent Rijmen 提出 的 
一 种 密码 算法 Rijndael 作为 AES。 

AES 加 密 数据 块 大 小 最 大 是 256 位 , 但 是 密 钥 大 小 在 理论 上 没有 上 限 。 AES 加 密 有 很 多 
轮 的 重复 和 变换 。 大 致 步骤 为 : 密 钥 扩展 Key Expansion); 初始 轮 (Initial Round); 重复 轮 
(Rounds)， 每 一 轮 又 包括 SubBytes、ShiftfRows、MixColumns、AddRoundKey; 最 终 轮 (Final 
Round)， 最 终 轮 没有 MixColumns。 

尽管 人 们 对 AES 还 有 不 同 的 看 法 ， 但 总 体 来 说 ，AES 作为 新 一 代 的 数据 加 密 标准 ， 汇 
聚 了 强 安全 性 、 高 性 能 、 高 效率 、 易 用 和 灵活 等 优点 。AES 设计 有 三 个 密 钥 长 度 : 128、192、 
256 位 。 相 对 而 言 ，AES 的 128 密 钥 比 DES 的 56 密 钥 强 1021 倍 。AES 算法 主要 包括 三 个 方 
面 : 轮 变化 、 圈 数 和 密 钥 扩展 。 本 文 以 128 为 例 ， 介 绍 算法 的 基本 原理 ， 并 结合 AVR 汇编 
语言 ， 实 现 高 级 数据 加 密 算法 AES。 

AES 是 分 组 密 钥 ， 算 法 输入 128 位 数据 ， 密 钥 长 度 也 是 128 位 。 用 NN 表示 对 一 个 数据 
分 组 加 密 的 轮 数 。 每 一 轮 都 需要 一 个 与 输入 分 组 具有 相同 长 度 的 扩展 密 钥 ExpandedkeyG) 的 
参 予 。 由 于 外 部 输入 的 加 密 密 钥 K 长 度 有 限 ， 所 以 在 算法 中 要 用 一 个 密 钥 扩展 程序 (Key 
Expansion) 把 外 部 密 钥 K 扩展 成 更 长 的 比特 串 ， 以 生成 各 轮 的 加 密 和 解密 密 钥 。 


1. 圈 变 换 


AES 每 一 个 圈 变 换 由 以 下 三 个 层 组 成 。 

非 线性 层 : 进行 Subbyte 变换 。 

线 行 混合 层 : 进行 ShiftRow 和 MixColumn 运算 。 
密 钥 加 层 : 进行 AddRoundKey 运算 。 

2. 轮 变化 


对 不 同 的 分 组 长 度 ， 其 对 应 的 轮 变化 次 数 是 不 同 的 。 
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3. 密 钥 扩 展 


AES 算法 利用 外 部 输入 密 钥 K( 密 钥 串 的 字数 为 Ni, 通 过 密 钥 的 扩展 程序 得 到 共计 4(Ni1) 
字 的 扩展 密 钥 。 它 涉及 如 下 三 个 模块 。 

e@ 位 置 变 换 (Rotword) 一 一 把 一 个 4 字 节 的 序列 [A，B，C，D] 变 化 成 [B，C,，D，A]j。 

e@ S 盒 变换 (Subword) -对 一 个 4 字 节 进行 S 盒 代 替 。 

e 变换 Reon 一 一 Recon 表示 32 位 比特 字 [xiy，00，00，00]。 这 里 的 x 是 (02)， 如 
Reon[1]=[01000000]; Reon[2]=[02000000]; Reon[3]=[04000000]…… 扩 展 密 钥 的 生成 : 
扩展 密 钥 的 前 Mi 个 字 就 是 外 部 密 钥 KK; 以 后 的 字 WU 等 于 它 前 一 个 字 WII - 世 与 前 
第 个 字 WI[I- NJ] 的 “ 异 或 ”， 即 WUI=WII-1IJWI[I-Nd]。 但 是 若 i 为 Ny 的 倍 
数 ， 则 W=WI[I - Nx]Subword(Rotword(WI[[I - 1]]))Rcon[i/Ni]。 


5.4.4 ”分 组 密码 工作 模式 


传统 密码 学 一 般 包 括 序列 加 密 、 分 组 加 密 。 序 列 密码 一 直 是 军事 和 外 交 场 合 使 用 的 主要 
密码 技术 之 一 。 它 的 主要 原理 是 : 通过 有 限 状 态 机 产生 性 能 优良 的 伪 随 机 序列 ， 使 用 该 序列 
加 密 信息 流 ， 得 到 密 文 序列 。 所 以 ， 序 列 密码 算法 的 安全 强度 完全 取决 于 它 所 产生 的 伪 随 机 
序列 的 好 坏 。 

分 组 密码 的 工作 方式 是 将 明文 分 成 固定 长 度 的 组 ， 如 64 或 者 32、48 比特 一 组 ， 用 同一 
个 密 钥 和 算法 对 每 一 块 进行 加 密 和 解密 , 输出 也 是 固定 长 度 的 密 文 , 上面 介绍 的 DES 密码 算 
法 就 是 这 种 类 型 。 

对 称 密码 体制 的 发 展 趋势 将 以 分 组 密码 为 重点 。 分 组 密码 算法 通常 由 密 钥 扩展 算法 和 加 
密 (解密 ) 算 法 两 部 分 组 成 。 密 钥 扩展 算法 将 b 字 节 用 户主 密 钥 扩展 成 z 个 子 密 钥 。 加 密 算 法 由 
一 个 密码 学 上 的 弱 函 数 f 与 z 个 子 密 钥 迭 代 zr 次 组 成 。 混 乱 和 密 钥 扩散 是 分 组 密码 算法 设计 的 
基本 原则 。 抵 御 已 知 明文 的 差分 和 线性 攻击 ， 可 变 长 密 钥 和 分 组 是 该 体制 的 设计 要 点 。 

这 种 工作 模式 存在 的 主要 问题 是 : 由 于 加 密 、 解 密 双方 都 要 使 用 相同 的 密 钥 ， 因 此 在 发 
送 、 接 收 数 据 之 前 ， 必 须 完 成 密 钥 的 分 发 。 所 以 ， 密 钥 的 分 发 便 成 了 该 加 密 体系 中 的 最 薄弱 
环节 ， 也 是 风险 最 大 的 环节 ， 所 使 用 的 手段 都 很 难保 障 安全 地 完成 整个 工作 。 这 样 ， 密 钥 的 
更 新 周期 加 长 ， 给 非法 破译 密 钥 提供 的 机 会 也 越 大 。 


5.4.5 ”Java 中 的 对 称 密码 算法 编程 实例 


下 面 我 们 以 IDEA 算法 为 例 ， 介 绍 用 Java 实现 该 算法 的 编程 实例 。 

先 简单 介绍 一 下 IDEA 加 密 算法 的 原理 : IDEA 数据 加 密 算法 是 由 中 国 著名 学 者 来 学 嘉 
博士 和 著名 的 密码 学 专家 James L. Massey 于 1990 年 联合 提出 的 。 它 的 明文 和 密 文 都 是 64 比 
特 ， 但 是 密 钥 长 128 比特 。IDEA 是 作为 迭代 的 分 组 密码 实现 的 ， 它 使 用 128 位 的 密 铀 和 8 
个 循环 。 这 比 DES 提供 了 更 多 的 安全 性 ,但 是 在 选择 用 于 IDEA 的 密 钥 时 ， 应 该 排除 那些 称 
为 “ 弱 密 钥 ” 的 密 钥 。DES 只 有 4 个 弱 密 钥 和 12 个 次 弱 密 钥 ， 而 IDEA 中 的 弱 密 钥 数 相 当 
可 观 ， 有 2 的 51 次 方 个 。 但 是 如 果 密 钥 的 总 数 非常 大 ， 达 到 2 的 128 次 方 个 时 ， 仍 有 2 的 
77 次 方 个 密 钥 可 供 选 择 。IDEA 被 认为 是 极为 安全 的 。 使 用 128 位 密 钥 ， 亦 力 攻击 中 需要 进 
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行 的 测试 次 数 和 DES 相 比 会 明显 增 大 , 其 至 允许 对 弱 密 钥 进 行 测试 , 而 且 它 本 身 也 显示 了 抵 
抗 专业 形式 的 分 析 攻 击 的 能 力 。 
Java 密码 体系 (JCA) 和 Java 扩 展 密码 (JCE) 的 设计 目的 是 为 Java 提 供与 实现 无 关 的 加 密 函 
数 API。 它们 都 用 Factory 方法 来 创建 类 的 例 程 , 然后 把 实际 的 加 密 函 数 委托 给 提供 者 提供 指 
定 的 底层 引擎 , 引擎 中 为 类 提供 了 接口 在 Java 中 实现 数据 的 加 密 和 解密 ,是 使 用 其 内 置 的 JCE 
来 实现 的 。Java 开发 工具 集 1.1 为 实现 包括 数字 签名 和 信息 摘要 在 内 的 加 密 功 能 ， 推 出 了 一 
套 基 于 供应 商 的 新 型 灵活 应 用 编程 接口 。Java 密码 体系 结构 支持 供应 商 的 互 操 作 ， 同 时 支持 
硬件 和 软件 实现 。Java 密码 学 结构 设计 遵循 两 个 原则 。 
e 算法 的 独立 性 和 可 靠 性 。 
e 实现 的 独立 性 和 相互 作用 性 。 
算法 的 独立 性 是 通过 定义 密码 服务 类 来 获得 。 用 户 只 需 了 解密 码 算法 的 概念 ， 而 不 用 去 
关心 如 何 实现 这 些 代码 ,密码 服务 提供 器 是 实现 一 个 或 者 多 个 密码 服务 的 一 个 或 多 个 程序 包 。 
软件 开发 商 根据 一 定 接口 ， 将 各 种 算法 实现 后 ， 打 包 成 一 个 文件 ， 用 户 可 以 安装 和 配置 这 些 
文件 ， 可 以 将 这 些 .ZIP 或 者 .JAR 文件 放 在 CLASSPATH 目录 下 ， 再 编辑 JAVA 安全 属性 文 
件 来 设置 定义 。 
下 面 是 一 个 实例 演示 。 
/加 密 过 程 的 实现 
void idea_enc(int datal1[], int key1[]) // 待 加 密 的 64 位 数据 首 地 址 
{ 


int i; 
int tmp,x; 
int 2z[]= new int[6]; 
for(i=0; i<48; i+=6) /循环 8 轮 
{ 
for( int j=0, box=1; j<6; j++,box++) 
{ 
zz[j]= keyl[box]; 
} 
x=handle data(datal1,zz); 
tmp=datal1[1]; /交换 中 间 两 数值 
datal 1[1]=datal 1[2]: 
datal 1[2]=tmp; 
} 
tmp=datall[l[:/ 最 后 一 轮 不 交换 
datall[1]-datal1[2]; 
datal 1[2]=tmp; 
datal 1[0]=MUL(datal 1[Ol,key1[48]): 
datal 1[1]-(cha)((datal 1[1}+key1[49])% OX10000); 
datal 1[2]-(cha)((datal 1[2}+key1[50])% OX10000): 
datal 1[3]=MUL(datal 1[3],key1[51)): 
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5.5” 非 对 称 密码 算法 


5.5.1 ” 非 对 称 密码 算法 概述 


上 面 介绍 的 几 种 算法 ， 构 成 了 “传统 密码 体制 ”， 又 称 “ 对 称 密 钥 密码 体制 ”。 其 中 用 
于 加 密 的 密 钥 和 解密 的 密 钥 完全 一 样 ， 在 对 称 密 钥 密码 体制 中 ， 加 密 运算 与 解密 运算 使 用 同 
样 的 密 钥 。 通 常 ， 使 用 的 加 密 算法 比较 简便 高 效 ， 密 钥 简 短 ， 破 译 极其 困难 。 但 是 在 公开 的 
计算 机 网 络 上 安全 地 传送 和 保管 密 钥 是 一 个 严峻 的 问题 。1976 年 ，Diffie 和 Hellman 为 了 解 
决 密 钥 管理 问题 ， 在 他 们 具有 奠基 性 意义 的 著作 “密码 学 的 新 方向 ”一 文中 ， 提 出 了 一 种 密 
钥 交 换 协 议 ， 人 允许 在 不 安全 的 媒体 上 通信 双方 交换 信息 ， 安 全 地 达成 一 致 的 密 钥 。 在 此 新 思 
想 的 基础 上 ， 很 快 出 现 了 与 “传统 密码 体制 ”相对 应 的 “ 非 对 称 密 钥 密码 体制 ”， 即 “公开 
密 钥 密码 体制 ”。 其 中 加 密 密 钥 不 同 于 解密 密 钥 ， 加 密 密 钥 公之于众 ， 谁 都 可 以 用 ; 而 解密 密 钥 
只 有 解密 人 自己 知道 。 这 两 个 密 钥 分 别称 为 “公开 密 钥 ” Public Key) 和 “秘密 密 钥 ”(Private Key)。 

非 对 称 密 钥 密 码 体制 是 现代 密码 学 的 最 重要 发 明和 进步 。 在 一 贯 的 印象 当中 ， 密 码 学 
(Cryptography) 或 称 密码 术 主 题 应 该 是 保护 信息 传递 的 机 密 性 。 的 确 ， 保 护 敏 感 的 通讯 ， 一 直 
是 密码 学 多 年 来 的 重点 。 但 是 ， 这 仅仅 是 当今 密码 学 主题 的 一 个 方面 。 随 着 网 络 应 用 的 普及 
和 迅速 发 展 ， 对 信息 发 送 人 的 身份 验证 ， 成 为 密码 学 主题 的 另 一 个 方面 。 公 开 密 钥 密码 体制 
为 这 两 方面 的 问题 都 给 出 了 出 色 的 答案 ， 并 在 继续 产生 新 的 思想 和 方案 。 

下 面 以 RSA 算法 为 例 ， 介 绍 一 下 这 种 机 制 的 工作 原理 。 


5.5.2 RSA 算法 


RSA 公开 密 钥 算 法 是 由 麻 省 理工 学 院 QMIT)R.Rivest、 A.Shamir 和 IL.Adleman 三 名 数学 家 
于 1977 年 提出 的 .RSA 的 取 名 就 来 自 于 这 三 个 发 明 者 的 姓 的 第 一 个 字母 。 后 来 , 他 们 在 1982 
年 创办 了 以 RSA 命名 的 公司 RSA Data Security Inc. 和 RSA 实验 室 ， 该 公司 和 实验 室 在 公开 
密 钥 密码 系统 的 研究 和 商业 推广 方面 具有 举足轻重 的 地 位 ， 是 迄今 为 止 最 为 成 功 的 公开 密 钥 
密码 体制 。 

现在 用 一 个 简单 的 例子 来 说 明 RSA 公开 密 钥 算法 的 工作 原理 。 取 两 个 质数 p=11, q=13， 
p 和 qd 的 乘积 为 pXq=143， 算 出 男 一 个 数 王 (p-1)X(q-1)=120; 再 选取 一 个 与 z 互 质 的 数字 ， 
例如 : e=7( 称 为 “公开 指数 ”)， 对 于 这 个 e 值 ， 可 以 算出 另 一 个 值 d=103( 称 为 “秘密 指数 ”) 
满足 eXd=1l mod z; 其 实 7X103=721 除 以 120 的 余数 的 确 是 1。m，e) 和 (mn，d) 这 两 组 数 分 
别 为 “公开 密 钥 ”和 “秘密 密 钥 ”。 

设想 S 需要 向 Y 发 送 机 密 信息 s( 明 文 , 即 未 加 密 的 报 文 ), S 已经 从 公开 媒体 中 得 到 了 YY 
的 公开 密 钥 mm，e)=(143，7)， 于 是 可 以 算出 加 密 值 为 : 

c=s[RUe] mod n= 85[RU7] mod 143 = 123 

将 c 发 送 给 Y，YY 在 收 到 “ 密 文 ”( 即 加 密 过 的 报 文 )c=123 之 后 ， 利 用 只 有 Y 自己 知道 
的 秘密 密 钥 mm，d)= (143，123) 计 算出 来 123 mod 143， 得 到 的 值 就 是 明文 85， 这 一 个 过 程 就 
是 解密 过 程 。 其 中 的 计算 用 一 般 公 式 来 表示 就 是 : 
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CIRUdl modn= (SIRUel)IRUdl modn =sIRUedl modn 

根据 初等 数论 中 的 欧 拉 定理 (Euler)， 应 用 s[RUz]= 1 modn， 得 到 : 

S[RUed] =smodn 

所 以 ，YY 可 以 得 到 S 发 给 他 的 真正 信息 s=85。 

也 许 有 一 些 人 会 产生 疑问 : 在 Y 向 公众 提供 了 公开 和 密 钥 , 密 文 c 又 是 通过 公开 的 途径 传 
送 的 , 那么 其 安全 性 何在 ?回答 是 : 只 要 n 足够 大 , 例如 512 比特 , 或 者 1024 比特 甚至 2048 
比特 , n=pXq 中 的 p 和 q 相差 位 数 不 大 ， 任 何人 只 知道 公开 密 钥 mm，e)， 目 前 是 无 法 算出 秘 
密 密 钥 a，gd 的 。 其 困难 在 于 从 乘积 n 难以 找到 它 的 两 个 巨大 的 质数 因子 。 

公开 密 钥 加 密 系统 的 一 个 优点 是 不 仅 可 以 用 于 信息 的 保密 通讯 ， 而 且 可 以 用 来 验证 信息 
发 送 者 的 身份 [Authentication) 或 者 数字 签名 (Digital Signature)。 我 们 用 一 个 身份 验证 的 例子 来 
进行 说 明 。 

YY 要 向 S 发 送信 息 m( 表 示 他 身份 的 ， 可 以 是 身份 证 号 码 ， 或 者 名 字 的 汉字 的 某 种 编码 
值 )， 必 须 让 S 确信 该 信息 是 真实 的 ， 是 由 YY 本 人 所 发 的 。 为 此 ，YY 使 用 自己 的 秘密 密 钥 @， 
中 计算 。 

S= md mod n 建立 了 一 个 “数字 签名 ”， 通 过 公开 的 通讯 途径 发 送 给 S，S 则 使 用 Y 的 
公开 密 钥 m，e) 对 收 到 的 s 值 进 行 计算 。 

S[RUe] modn = (md)e mod n=m 

这 样 ，S 经 过 验证 ， 知 道 信息 S 确实 代表 了 Y 的 身份 ， 只 有 他 本 人 才能 发 出 这 一 信息 ， 
因为 具有 他 自己 知道 秘密 密 钥 am，d)。 其 他 任何 人 即使 知道 Y 的 公开 密 钥 m，e)， 也 无 法 猜 出 
或 算出 他 的 秘密 密 钥 来 冒充 他 的 “签名 ”。 

RSA 公开 密码 算法 的 安全 性 取决 于 从 公开 密 钥 m，e) 计 算出 秘密 密 钥 mm，d) 的 困难 程度 ， 
而 后 者 则 等 同 于 从 n 找 出 它 的 两 个 质 因 数 p 和 q。 因 此 ， 寻 求 有 效 的 因数 分 解 的 算法 就 是 寻 
求 一 把 锐利 的 “ 矛 ”, 来 击 穿 RSA 公开 密 钥 密码 系统 这 个 “ 盾 ”。 数 学 家 和 密码 学 家 一 直 在 
努力 寻求 更 锐利 的 “ 矛 ” 和 更 坚固 的 “ 盾 ”， 这 不 仅仅 局 限于 RSA 一 种 算法 ， 对 于 其 他 算法 
也 是 如 此 。 

最 简单 的 考虑 就 是 加 厚 “ 盾 ”的 厚度 ， 即 取 更 大 的 mn 值 。RSA 实验 室 认为 ，512 比特 的 
n 已 经 不 够 安全 ， 他 们 建议 个 人 应 用 需要 768 比特 的 n， 公 司 和 企业 应 用 需要 1024 比特 的 n， 
其 他 极其 重要 的 场合 应 该 用 到 2048 比特 或 者 更 大 的 n。 

总 之 ， 随 着 硬件 资源 的 迅速 发 展 和 因数 分 解 算法 的 不 断 改进 ， 为 了 保证 RSA 密 钥 算 法 
密码 系统 的 安全 性 ， 最 简明 有 效 的 做 法 就 是 不 断 增加 模 n 的 位 数 。 

5.5.3 Java 中 的 非 对 称 密码 算法 编程 实例 
下 面 以 RSA 算法 为 例子 ， 介 绍 用 Java 实现 该 算法 的 编程 实例 。 
/为 了 方便 观察 学 习 ， 在 此 程序 内 ， 我 们 使 用 相对 小 的 大 整数 
Import Java.10.*; 
import java.math. BigInteger; 


import java.security.SecureRandom; 
public class RSA{ 
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private final static SecureRandom random = new SecureRandom(); 
private BigInteger e; //e: 公 钥 
private BigInteger d; //d: 私 钥 
private BigInteger n; //n: 模 数 


RSAO 
{ 

SecureRandom rnd= new SecureRandom(); 

BigInteger p= new BigInteger(512,10,rmd); 

BigInteger q= new BigInteger(512,10,md); 

while(p.equals(q)) 

{ 
Q=new BigInteger(512,10,rmd); 
//fin=(p-1)(q-1) 
BigInteger fin= (p.subtract(BigInteger.ONE).multiply(q.subtract(BigInteger.ONE))); 
n=p.multiply(q); //n= qp 
e=new BigInteger(20，10，md); /随机 选取 整数 e 
/保证 e 满足 gcd(fin(n),e)=1， 即 e 与 fin(n) 互 素 
while((e.gcd(fin).intValue(O)!=1) 
{ 

e= new BigInteger(20,10,md); 
} 
d=e.modInverse(fin); 
System.out.printIn(“ 公 钥 =”+et “\n”); 
System.outprinttn(“ 私 钥 =”+d+“\n”); 
System.out.printin(“ 模 数 n 的 值 = ”+n+“m”); 


BigInteger encrypt(BigInteger msg) /加 密 函 数 
{ 


reuturn msg.modPow(e,n); 


BigInterger decrypt(BigInteger encrypted) /解密 函数 
{ 
reuturn msg.modPow(d,n); 


publie static void main(String[ | args) 

{ 
RSA obj= new RSAO; 
BigInteger msg = new BiglInteger(512,random); 
BigInteger encrypt=obj.encrypt(mseg); // 加 密 
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BigInteger decryptFobj.decrypt(encrypb; /解密 
System.outprintln(“ 原 始 明文 =”+msg+“m”); 
System.out.println(“ 加 密 密 文 =”+encryptt+“\n” 
System.out.println(“ 解 密 明 文 =”+decryptt“\n” 


kt 


5.6 数字 签名 


5.6.1 数字 签名 概述 


签名 是 大 家 都 熟悉 的 一 种 身份 确认 方法 。 计 算 机 发 展 至 今 ， 由 于 技术 上 的 问题 ， 手 工 签 
名 还 不 能 在 它 上 面 很 快 普及 ， 而 签名 被 复制 和 伪造 的 可 能 性 又 大 大 增加 ， 所 以 在 计算 机 中 处 
理 个 人 确认 问题 一 直 是 人 们 所 关注 的 事情 。 

最 开始 普遍 采用 的 方式 是 口令 ， 用 字符 数字 串 作为 个 人 的 代号 ， 由 个 人 私自 保管 使 用 ; 
同时 又 在 计算 机 内 以 隐蔽 文件 的 方式 存储 ， 使 用 时 用 户 输入 自己 的 口令 与 计算 机 内 存放 的 口 
令 直接 进行 比较 ， 以 确认 用 户 的 身份 合法 性 。 但 是 人 们 发 现 这 种 确认 方式 的 安全 性 不 高 ， 只 
要 稍 有 计算 机 应 用 知识 的 人 ， 就 可 以 比较 容易 弄 到 他 人 的 口令 。 

后 来 又 采用 指定 认证 字 的 方法 (相当 于 经 过 处 理 的 口令 )， 问 题 还 不 能 得 到 圆满 解决 。 而 
且 , 即使 防止 了 外 部 普通 用 户 的 假冒 犯罪 行为 ， 也 难以 防止 系统 内 部 的 管理 人 员 ( 通 常 称 为 超 
级 用 户 ) 的 计算 机 犯罪 行为 ,因为 计算 机 超级 用 户 有 很 高 的 计算 机 操作 权限 ,他 可 以 打开 计算 
机 内 的 任何 文件 ， 包 括 口令 、 认 证 字 的 隐蔽 文件 。 在 大 量 计算 机 犯罪 案例 中 很 多 是 在 系统 内 
部 发 生 的 。 以 上 所 介绍 的 各 种 认证 方法 ， 用 户 上 只 有 被 系统 检查 的 义务 ， 而 没有 足够 的 自我 保 
护 的 能 力 和 权限 ， 这 是 一 种 消极 、 被 动 的 方法 。 

一 种 数字 签名 (又 称 公 钥 数 字 签 名 、 电 子 签 章 ) 应 运 而 生 。 数 字 签 名 是 一 种 以 电子 形式 存 
在 于 数据 信息 之 中 的 ， 或 者 作为 其 附件 的 或 逻辑 上 与 之 有 联系 的 数据 ， 可 以 用 于 辨别 数据 签 
署 人 的 身份 ， 并 表明 签署 人 对 数据 信息 中 包含 的 信息 的 认可 。 

数字 签名 不 是 将 用 户 的 签名 扫描 成 数字 图 像 ， 或 者 用 触摸 板 获取 签名 的 方式 ， 更 不 是 通 
常人 们 所 说 的 落款 签名 。 数 字 签 名 的 文件 的 完整 性 是 很 容易 验证 的 ， 不 需要 骑 颖 章 、 骑 缝 签 
名 ， 也 不 需要 笔迹 专家 鉴定 ， 具 有 不 可 抵赖 性 。 

简单 地 说 ， 所 谓 数字 签名 就 是 附加 在 数据 单元 上 的 一 些 数据 ， 或 是 对 数据 单元 所 作 的 密 
码 变 换 。 这 种 数据 或 变换 允许 数据 单元 的 接收 者 用 以 确认 数据 单元 的 来 源 和 数据 单元 的 完整 
性 并 保护 数据 ， 防 止 被 人 (例如 接收 者 ) 进 行 伪造 。 它 是 对 电子 形式 的 消息 进行 签名 的 一 种 方 
法 ,一 个 签名 消息 能 在 一 个 通信 网 络 中 传输 。 普 通 数字 签名 算法 有 RSA、ElGamal、Fiat-Shamir、 
Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir 数字 签名 算法 、Des/DSA， 椭 圆 曲 线 数字 
签名 算法 和 有 限 自动 机 数字 签名 算法 等 。 特 殊 数 字 签 名 有 盲 签名、 代理 签名 、 群 签名 、 不 可 
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否认 签名 、 公 平 讶 签名、 门限 签名 、 具 有 消息 恢复 功能 的 签名 等 , 它 与 具体 应 用 环境 密切 相关 。 
数字 签名 (Digital Signature) 技 术 是 不 对 称 加 密 算 法 的 典型 应 用 。 数 字 签 名 技术 是 在 网 络 
系统 虚拟 环境 中 确认 身份 的 重要 技术 ， 完 全 可 以 代替 现实 过 程 中 的 “亲笔 签字 ”， 在 技术 和 
法 律 上 有 保证 。 在 数字 签名 应 用 中 ， 发 送 者 的 公 钥 可 以 很 方便 地 得 到 ， 但 他 的 私 钥 则 需要 严 
格 保密 。 数 字 签 名 必须 能 够 保证 信息 传输 的 完整 性 、 发 送 者 的 身份 认证 ， 防 止 交易 中 的 抵赖 
发 生 。 
数字 签名 是 个 加 密 的 过 程 ， 数 字 签 名 验证 是 个 解密 的 过 程 。 


5.6.2 ”基于 RSA 算法 的 数字 签名 


如 上 一 节 RSA 算法 的 描述 ， 该 算法 的 一 个 优点 是 不 仅 可 以 用 于 信息 的 保密 通讯 ， 而 且 
可 以 用 来 验证 信息 发 送 者 的 身份 [Authentication) 或 者 数字 签名 (Digital Signature)。 我 们 仍然 可 
以 用 一 个 例子 来 进行 说 明 。 

YY 要 向 S 发 送信 息 m( 表 示 他 身份 的 , 可 以 是 身份 证 号 码 或 者 名 字 的 汉字 的 某 种 编码 值 )， 
必须 让 S 确信 该 信息 是 真实 的 , 是 由 YY 本 人 所 发 的 。 为 此 , Y 使 用 自己 的 秘密 密 钥 ma，d) 计 算 。 

S= md mod n 建立 了 一 个 “数字 签名 ”， 通 过 公开 的 通讯 途径 发 送 给 S，S 则 使 用 立 的 
公开 密 钥 a，e) 对 收 到 的 S 值 进行 计算 : 

SIRUel modn = (md)e mod n=m 

这 样 ，S 经 过 验证 ， 知 道 信息 S 确实 代表 了 YY 的 身份 ， 只 有 他 本 人 才能 发 出 这 一 信息 ， 
因为 只 有 他 自己 知道 秘密 密 钥 mm，d)。 其 他 任何 人 即使 知道 Y 的 公开 密 钥 mm，e)， 也 无 法 猜 出 
或 算出 他 的 秘密 密 钥 来 冒充 他 的 “签名 ”。 
5.6.3 Java 中 的 数字 签名 算法 编程 实例 

JDK 1.5 提供 了 对 RSA 的 算法 支持 ， 同 时 ， 为 数字 签名 提供 了 很 好 的 接口 ， 
java.security.Signature 类 提供 了 消息 签名 。 

在 加 密 和 数字 签名 的 程序 开头 加 入 以 下 代码 。 


import java.security.Signature; 

import java.security.KeyPairGenerator; 
import java.security.KeyPair; 

Import Java.security.SignatureException; 


下 面 介绍 用 Java 实现 该 数字 签名 的 编程 实例 。 


/数字 签名 ， 使 用 RSA 私 钥 对 消息 摘要 签名 ， 然 后 使 用 公 钥 进行 验证 
public class DigitalSignature2Example 
{ 
publie static void main(Sting[] args) throws Exception 
{ 
System.err.println("Usage: java DigitalSignature2Example”); 
System.exit(1); 
byte[] plainText=args[0].getBytes(“UTFS8”); 
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System.out.printIn(“Start generating RSA key”); /生成 RSA 公 钥 
KeyPairGenerator keyGen= KeyPairGenerator.getInstance(‘RSA”);\ 
keyGen.initialize(1024); 

KeyPair key=keyGen.generateKeyPair0; 

System.out.println('Finish generating RSA key’); 

Signature sig=Signature.getInstance(“SHA1WithRSA”); /使 用 私 钥 签名 
sig.initSign(key.getPrivate()); 

sig.update(plainText); 

byte[] signature=sig.signO); 
System.out.printin(sg.getProvider(.getInfoO); 
System.out.println(“Signature:”); 

System.out.println(new String(signature, “UTFS8”)); 
System.out.println(“Start signature verification”); // 使 用 公 钥 验证 


Sig.initVerify(key.getPublicO); 
sig.update(plainText); 
try 
Ut 
if(sig.verify(signature)) 
System.out.println(“‘Signature verified”); 
} 
else System.out.printIn(“Signature failed”); 
} 
cach(SignatureException e) 
{ 
System.out.println(“Signature failed7); 
b 


5.7 PGP 原理 与 应 用 


现代 信息 社会 里 ， 在 电子 邮件 广 受 欢迎 的 同时 ， 其 安全 性 问题 也 很 突出 。 实 际 上 ， 电 子 
邮件 的 传递 过 程 是 邮件 在 网 络 上 反复 复制 的 过 程 ， 其 网 络 传输 路 径 不 确定 ， 很 容易 遭 到 不 明 
身份 者 的 鲫 取 、 算 改 、 冒 用 甚至 恶意 破坏 ， 给 收发 双方 带 来 麻烦 。 进 行 信息 加 密 ， 保 障 电子 
邮件 的 传输 安全 已 经 成 为 广大 E-mail 用 户 的 迫切 要 求 。 PGP 的 出 现 与 应 用 很 好 地 解决 了 电子 
邮件 的 安全 传输 问题 。 将 传统 的 对 称 性 加 密 与 公开 密 钥 方法 结合 起 来 ， 兼 备 了 两 者 的 优点 。 
PGP 提供 了 一 种 机 密 性 和 鉴别 的 服务 ， 支 持 1024 位 的 公开 密 钥 与 128 位 的 传统 加 密 算法 ， 
可 以 用 于 军事 目的 ， 完 全 能 够 满足 电子 邮件 对 于 安全 性 能 的 要 求 。 


第 5 章 密码 学 基础 。133。 


5.7.1 ”操作 描述 


PGP 的 实际 操作 由 五 种 服务 组 成 : 鉴别 、 机 密 性 、 电 子 邮 件 的 兼容 性 、 压 缩 、 分 段 和 重 装 。 
1. 鉴别 


如 图 5-5 所 示 ， 鉴 别 的 步骤 如 下 。 


源 点 A 终点 B 
4 > 4 人 D 
i 人 
a ) DP | 
-a 
H EP 2 2 A ) I 
M M 
H 
图 5-5 只 进行 鉴别 


(1) 发 送 者 创建 报 文 。 

(2) 发 送 者 使 用 SHA-1 生成 报 文 的 160 位 散 列 代码 (邮件 文摘 )。 

(3) 发 送 者 使 用 自己 的 私有 密 钥 ,采用 RSA 算法 对 散 列 代码 进行 加 密 , 串 接 在 报 文 的 前 面 。 

(4) 接收 者 使 用 发 送 者 的 公开 密 钥 ， 采 用 RSA 解密 和 恢复 散 列 代码 。 

(5) 接收 者 为 报 文生 成 新 的 散 列 代码 ， 并 与 被 解密 的 散 列 代码 相 比较 。 如 果 两 者 匹配 ， 
则 报 文 作为 已 鉴别 的 报 文 而 接收 。 

另外 ， 签 名 是 可 以 分 离 的。 例如 法 律 合同 需要 多 方 签名 ， 每 个 人 的 签名 是 独立 的 ， 因 和 而 
可 以 仅 应 用 到 文档 上 。 


2. 机 密 性 
在 PGP 中 , 每 个 常规 密 钥 只 使 用 一 次 , 即 对 每 个 报 文生 成 新 的 128 位 的 随机 数 。 为 了 保 
护 密 钥 ， 使 用 接收 者 的 公开 密 钥 对 它 进行 加 密 。 图 5-6 显示 了 这 一 步 又， 具体 步骤 如 下 。 


KUb 


Erud K:] KRb 


2 {F870 0 


图 5-6 只 保证 机 密 性 


M 


(1) 发 送 者 生成 报 文 和 用 作 该 报 文 会 话 密 钥 的 128 位 随机 数 。 


(2) 发 送 者 采用 CAST-128 加 密 算法 ， 使 用 会 话 密 钥 对 报 文 进行 加 密 ， 也 可 使 用 IDEA 
或 3DES。 
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(3) 发 送 者 采用 RSA 算法 ， 使 用 接收 者 的 公开 密 钥 对 会 话 密 钥 进行 加 密 ， 并 附加 到 报 文 


合 
性 


(4) 接收 者 采用 RSA 算法 ， 使 用 自己 的 私有 密 钥 解密 和 恢复 会 话 密 钥 。 

(5) 接收 者 使 用 会 话 密 钥 解密 报 文 。 

除了 使 用 RSA 算法 加 密 外 ，PGP 还 提供 了 Diffie Hellman 的 变 体 EIGamal 算法 。 
3. 常规 加 密 和 公开 密 钥 加 密 结合 的 好 处 


(1) 常规 加 密 和 公开 密 钥 加 密 结合 使 用 比 直接 使 用 RSA 或 EIGamal 要 快 得 多 。 

(2) 使 用 公开 密 钥 算法 解决 了 会 话 密 钥 分 配 问 题 。 

(3) 由 于 电子 邮件 的 存储 转发 特性 ， 使 用 握手 协议 来 保证 双方 具有 相同 会 话 密 钥 的 方法 
是 不 现实 的 ， 而 使 用 一 次 性 的 常规 密 钥 加 强 了 已 经 很 强 的 常规 加 密 方法 。 


4. 机 密 性 与 鉴别 


对 报 文 可 以 同时 使 用 两 个 服务 。 首 先 为 明文 生成 签名 并 附加 到 报 文 首部 ， 然 后 使 用 
CAST-128( 或 IDEA、3DES) 对 明文 报 文 和 签名 进行 加 密 ， 再 使 用 RSA( 或 EIGamal) 对 会 话 密 
钥 进行 加 密 。 在 这 里 要 注意 次 序 ， 如 果 先 加 密 再 签名 的 话 ， 别 人 可 以 将 签名 去 掉 后 签 上 自己 
的 签名 ， 从 而 算 改 签名 。 


5. 电子 邮件 的 兼容 性 


当 使 用 PGP 时 ， 至 少 传输 报 文 的 一 部 分 需要 加 密 ， 因 此 部 分 或 全 部 的 结果 报 文 由 任意 8 

位 字 节 流 组 成 。 但 由 于 很 多 电子 邮件 系统 只 允许 使 用 由 ASCII 正文 组 成 的 块 ， 所 以 PGP 提供 

了 radix-64( 就 是 MIME 的 BASE 64 格式 ) 转 换 方 案 ， 将 原始 二 进 制 流转 化 为 可 打印 的 ASCI 
6. 压缩 


PGP 在 加 密 前 进行 预 压缩 处 理 ，PGP 内 核 使 用 PKZIP 算法 压缩 加 密 前 的 明文 。 一 方面 
对 电子 邮件 而 言 ， 压 缩 后 再 经 过 radix-64 编码 有 可 能 比 明文 更 短 ， 这 就 节省 了 网 络 传输 的 时 
间 和 存储 空间 ， 另 一 方面 ， 明 文 经 过 压缩 ， 实 际 上 相当 于 经 过 一 次 变换 ， 对 明文 攻击 的 抵御 
能 力 更 强 。 

7. 分 段 和 重 装 


电子 邮件 设施 经 常 受 限于 最 大 报 文 长 度 (50 000 个 ) 八 位 组 的 限制 。 分 段 是 在 所 有 其 他 的 
处 理 (包括 radix-64 转换 ) 完 成 后 才 进行 的 ， 因 此 ， 会 话 密 钥 部 分 和 签名 部 分 只 在 第 一 个 报 文 
段 的 开始 位 置 出 现 一 次 。 在 接收 端 ，PGP 必须 剥 掉 所 在 的 电子 邮件 首部 ， 并 且 重 新 装配 成 原 
来 的 完整 的 分 组 。 
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5.7.2 ”加 密 密 钥 和 密 钥 环 


1. 会 话 密 钥 的 生成 


PGP 的 会 话 密 钥 是 个 随机 数 ， 它 是 基于 ANSI X.917 的 算法 由 随机 数 生成 器 产生 的 。 随 
机 数 生成 器 从 用 户 敲 键盘 的 时 间 间 隔 上 取得 随机 数 种 子 。 对 于 磁盘 上 的 randseed.bin 文件 则 
采用 和 邮件 同样 强度 的 加 密 。 这 有 效 防止 了 他 人 从 randseed.bin 文件 中 分 析出 实际 加 密 密 钥 
的 规律 。 


2. 密 钥 标志 符 


允许 用 户 拥有 多 个 公开 /私有 密 钥 对 。 

e 不 时 改变 密 钥 对 。 

e@ 同一 时 刻 ， 多 个 密 钥 对 在 不 同 的 通信 组 交互 ， 所 以 用 户 和 他 们 的 密 钥 对 之 间 不 存在 
一 一 对 应 关系 。 


3. 密 钥 环 


密 钥 需要 以 一 种 系统 化 的 方法 来 存储 和 组 织 ， 以 便 有 效 和 高 效 地 使 用 。PGP 在 每 个 结 点 
提供 一 对 数据 结构 ， 一 个 是 存储 该 结 点 年 月 的 公开 /私有 密 钥 对 (私有 密 钥 环 )， 男 一 个 是 存储 
该 结 点 知道 的 其 他 所 有 用 户 的 公开 密 钥 。 相 应 地 ， 这 些 数据 结构 被 称 为 私有 密 钥 环 和 公开 密 
钥 环 。 


5.7.3 ”公开 密 钥 管理 


1. 公开 密 钥 管理 机 制 


一 个 成 熟 的 加 密 体系 必然 要 有 一 个 成 熟 的 密 钥 管理 机 制 配套 。 公 钥 体 制 的 提出 就 是 为 了 
解决 传统 加 密 体系 的 密 钥 分 配 过 程 不 安全 、 不 方便 的 缺点 。 例 如 网 络 黑客 们 常用 的 手段 之 一 
就 是 “监听 ”， 通 过 网 络 传送 的 密 钥 很 容易 被 截获 。 对 PGP 来 说 ， 公 钥 本 来 就 是 要 公开 ， 就 
没有 防 监听 的 问题 。 但 公 钥 的 发 布 仍然 可 能 存在 安全 性 问题 ， 例 如 公 钥 被 算 改 (Public Key 
Tampering)， 使 得 使 用 公 钥 与 公 钥 持 有 人 的 公 钥 不 一 致 。 这 在 公 钥 密码 体系 中 是 很 严重 的 安 
全 问题 ， 因 此 必须 帮助 用 户 确 信使 用 的 公 钥 是 与 他 通信 的 对 方 的 公 钥 。 

以 用 户 A 和 用 户 B 通信 为 例 ， 现 假设 用 户 A 想 给 用 户 B 发 信 。 首 先 用 户 A 就 必须 获取 
用 户 B 的 公 钥 ， 用 户 A 从 BBS 上 下 载 或 通过 其 他 途径 得 到 B 的 公 钥 ， 并 用 它 加 密 信件 发 给 
B。 不 垃 的 是 ， 用 户 A 和 B 都 不 知道 ， 攻 击 者 C 潜入 BBS 或 网 络 中 ， 侦 听 或 截取 到 用 户 B 
的 公 钥 ， 然 后 在 自己 的 PGP 系统 中 以 用 户 B 的 名 字 生 成 密 钥 对 中 的 公 钥 ， 替 换 了 用 户 B 的 
公 钥 ， 并 放 在 BBS 上 或 直接 以 用 户 B 的 身份 把 更 换 后 的 用 户 B 的 “ 公 钥 ”发 给 用 户 A。A 
用 来 发 信 的 公 钥 是 已 经 更 改过 的 ， 实 际 上 是 C 伪装 B 生成 的 另 一 个 公 钥 (A 得 到 的 也 的 公 钥 
实际 上 是 C 的 公 钥 / 密 钥 对 ， 用 户 名 为 B)。 这 样 一 来 ，B 收 到 A 的 来 信 后 就 不 能 用 自己 的 私 
钥 解密 了 。 
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2. 防止 自 改 公 钥 的 方法 


(1) 直接 从 B 手中 得 到 其 公 钥 ， 这 种 方法 有 局 限 性 。 

(2) 通过 电话 认证 密 钥 :在 电话 上 以 radix-64 的 形式 口述 密 钥 或 密 钥 指纹 。 密 钥 指 纹 Keys 
Fingerprinb 就 是 PGP 生成 密 钥 的 160 位 的 SHA-1 摘要 (16 个 8 位 十 六 进 制 )。 

(3) 从 双方 信任 的 DD 那里 获得 B 的 公 钥 。 如 果 A 和 B 有 一 个 共同 的 朋友 D， 而 D 知道 
他 手中 的 B 的 公 钥 是 正确 的 。D 签名 的 B 的 公 钥 上 载 到 BBS 上 让 用 户 去 拿 ，A 想 要 获得 B 
的 公 钥 就 必须 先 获取 DD 的 公 钥 来 解密 BBS 或 网 上 经 过 DD 签名 的 B 的 公 钥 ,这样 就 等 于 加 了 
双重 保险 ， 一 般 没有 可 能 去 算 改 而 不 被 用 户 发 现 。 这 就 是 从 公共 渠道 传递 公 钥 的 安全 手段 。 

(4) 由 一 个 普通 信任 的 机 构 担当 第 三 方 ， 即 “认证 机 构 ”。 这 样 的 “认证 机 构 ” 适 合 由 
非 个 人 控制 的 组 织 或 政府 机 构 充 当 ， 来 注册 和 管理 用 户 的 密 钥 对 。 现 在 已 经 有 等 级 认证 制定 
的 机 构 存 在 , 如 广东 省 电子 商务 电子 认证 中 心 (www.cnca.net) 就 是 一 个 这 样 的 认证 机 构 。 对 于 
那些 非常 分 散 的 用 户 ，PGP 更 赞成 使 用 私人 方式 的 密 钥 转 介 。 


3. 信任 的 使 用 


PGP 确实 为 公开 密 钥 附 加 信任 和 开发 信任 信息 提供 了 一 种 方便 的 方法 使 用 信任 。 

公开 密 钥 环 的 每 个 实体 都 是 一 个 公开 的 密 钥 证 书 。 与 每 个 信任 的 实体 相 联 系 的 是 密 钥 合 
法 性 字段 ， 用 来 指示 PGP 信任 “这 是 这 个 用 户 合法 的 公开 密 钥 ” 的 程度 ; 信任 程度 越 高 ， 这 
个 用 户 ID 与 这 个 密 钥 的 绑 定 越 紧密 。 这 个 字段 由 PGP 计算 。 与 每 个 实体 相 联系 的 还 有 用 户 
收集 的 多 个 签名 。 反 过 来 ， 每 个 签名 都 带 有 签名 信任 字段 ， 用 来 指示 该 PGP 用 户 信任 签名 者 
对 这 个 公开 密 钥 证 明 的 程度 。 密 钥 合法 性 字段 是 从 这 个 实体 的 一 组 签名 信任 字 节 中 推导 出 来 
的 。 最 后 ， 每 个 实体 定义 了 与 特定 的 拥有 者 相 联系 的 公开 密 钥 ， 包 括 拥 有 者 信任 字段 ， 用 来 
指示 这 个 公开 密 钥 对 其 他 公开 密 钥 证 书 进行 签名 的 信任 程度 (这 个 信任 程度 是 由 该 用 户 指定 
的 )。 可 以 把 签名 信任 字段 看 成 是 来 自 于 其 他 实体 的 拥有 者 信任 字段 的 副本 。 

总 之 ，PGP 采用 了 RSA 和 传统 加 密 的 杂 合 算法 ， 用 于 数字 签名 的 邮件 文摘 算法 、 加 密 
前 压缩 等 ， 以 加 密 文 件 ， 还 可 以 代替 Uuencode 生成 radix-64 格式 (就 是 MIME 的 BASE 64 格 
式 ) 的 编码 文件 。PGP 创造 性 地 把 RSA 公 钥 体系 的 方便 和 传统 加 密 体系 的 高 速度 结合 起 来 ， 
并 且 在 数字 签名 和 密 钥 认证 管理 机 制 上 有 巧妙 的 设计 。 这 是 目前 最 难 破译 的 密码 体系 之 一 。 

用 户 通过 PGP 的 软件 加 密 程 序 ， 可 以 在 不 安全 的 通信 链 路 上 创建 安全 的 消息 和 通信 。 
PGP 协议 已 经 成 为 公 钥 加 密 技 术 和 全 球 范 围 内 消息 安全 性 的 事实 标准 。 因 为 所 有 人 都 能 看 到 
它 的 源 代 码 ， 从 而 查找 出 故障 和 安全 性 漏洞 。 


本 章 小 结 


本 章 主要 介绍 了 密码 学 的 基本 知识 ， 包 括 : 密码 学 的 历史 发 展 、 密 码 学 的 含义 和 基本 概 
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念 ， 密码 学 的 发 展 顺序 中 还 介绍 了 古典 密码 学 ， 其 中 包括 凯撒 密码 、 仿 射 密码 以 及 Playfair 
密码 和 Hil 密码 等 ， 结 合 当今 的 密码 学 现状 介绍 了 对 称 密码 算法 和 非 对 称 加 密 体制 ， 以 及 几 
种 著名 的 加 密 算法 ， 如 DES、AES、RSA 等 以 及 这 些 算法 在 数字 签名 方面 的 应 用 ， 并 且 给 出 
了 相应 算法 的 Java 编程 实例 ， 最 后 讨论 了 有 关 PGP 的 相关 内 容 和 工作 原理 。 希 望 读者 通过 
本 章 的 学 习 ， 能 够 掌握 基础 的 密码 学 相关 知识 ， 为 今后 的 网 络 安全 防范 打 好 基础 。 


课 后 练习 


一 、 填空 题 


1. 在 加 密 系统 中 ， 要 加 密 的 信息 是 ( )， 经 过 变换 加 密 后 ， 成 为 ( )， 
这 个 变换 的 过 程 就 称 为 ( )， 通 常 由 ( ) 来 实现 。 

2. 在 大 多 数 的 ( ) 算 法 中 ， 加 密 和 解密 密 钥 是 相同 的 ， 这 些 算 法 也 叫做 
( )。 

3. 与 传统 密码 体制 相对 应 的 是 ( )， 即 公开 密 钥 密码 体制 。 加 密 密 钥 不 同 于 解 
密 密 钥 ， 加 密 密 钥 公 之 于 众 ， 而 解密 密 钥 只 有 解密 人 自己 知道 ， 这 两 个 密 钥 分 别称 为 
( ) 和 ( )。 

4. 公开 密 钥 加 密 系统 的 一 个 优点 是 不 仅 可 以 用 于 信息 的 保密 通讯 ， 而 且 可 以 用 来 
( ) 和 ( ) 


5. 为 了 保证 RSA 密 钥 算 法 密码 系统 的 安全 性 ， 最 简明 有 效 的 做 法 就 是 不 断 增加 
( ) 的 位 数 。 


二 、 选择 题 
1. DES 算法 将 明文 分 为 (。) 位 的 数据 分 组 ， 使 用 (。”“) 位 的 密 钥 变换 。 
A.24 B. 48 C. 64 D. 128 
2. 下 列 密码 算法 ， 属 于 非 对 称 性 加 密 算 法 的 是 (  )。 
A. 凯撒 密码 B. Vigenere 密码 
C. Playfair 密码 D. RSA 算法 
3. 以 下 密码 算法 ， 可 以 用 于 数字 签名 的 是 ( ”)。 
A. DES/DSA B. Vigenere 密码 
C. Playfair 密码 D. RSA 算法 
4. PGP 采用 了 (  ) 和 传统 加 密 的 综合 算法 ， 用 于 数字 签名 的 ( ” ) 算 法 、 加 密 前 压缩 等 。 
A. AES B.DES C.RSA D. 邮件 文摘 
5. 分 组 密码 算法 通常 由 (  ) 和 ( ”) 两 部 分 组 成 。 
A. 文件 压缩 算法 B. 密 钥 扩展 算法 


C. 加 密 / 解 密 算法 D. AES 算法 
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三 、 简 答 题 
1. 简 述 什么 是 “加 密 ”， 什 么 是 “解密 ”。 
2. 简 述 什么 是 对 称 密码 算法 ， 什 么 是 非 对 称 密码 算法 。 
3. 相 比 之 下 ，AES 算法 比 DES 有 什么 优点 ? 
4. 简 述 RSA 算法 的 特点 、 安 全 性 及 其 隐患 。 
5. 简 述 PGP 的 工作 原理 及 优点 。 


第 6 章 ”身份 认证 与 访问 控制 


身份 认证 技术 是 指 计算 机 及 网 络 系统 确认 操作 者 身份 的 过 程 中 所 应 用 的 技术 手段 ， 通常 
是 将 某 个 身份 与 某 个 主体 进行 确认 并 绑 定 。 访 问 控制 机 制 按 用 户 身 份 及 其 所 归属 的 某 预 定义 
组 限制 用 户 对 某 些 信息 项 的 访问 ， 或 限制 对 某 些 控制 功能 的 使 用 。 访 问 控制 通常 用 于 系统 管 
理 员 控 制 用 户 对 服务 器 、 目 录 、 文 件 等 网 络 资源 的 访问 。 访 问 控制 通过 类 似 访问 控制 列表 将 
控制 访问 的 数据 与 客体 进行 绑 定 ， 能 力 表 则 将 这 种 数据 与 主体 进行 绑 定 ， 用 锁 与 钥匙 在 主体 
与 客体 之 间 分 配 这 种 数据 。 


本 章 重 点 

身份 认证 
访问 控制 
访问 控制 类 型 
访问 控制 机 制 


6.1 身份 认证 


身份 认证 技术 是 在 计算 机 网 络 中 确认 操作 者 身份 的 过 程 而 产生 的 解决 方法 。 计 算 机 网 络 
世界 中 一 切 信息 (包括 用 户 的 身份 信息 ) 都 是 用 一 组 特定 的 数据 来 表示 的 ， 计 算 机 只 能 识别 用 
户 的 数字 身份 ， 所 有 对 用 户 的 授权 也 是 针对 用 户 数 字 身 份 的 授权 。 如 何 保证 以 数字 身份 进行 
操作 的 操作 者 就 是 这 个 数字 身份 的 合法 拥有 者 ， 也 就 是 说 保证 操作 者 的 物理 身份 与 数字 身份 
相对 应 ， 身 份 认证 技术 就 是 为 了 解决 这 个 问题 ， 作 为 防护 网 络 资产 的 第 一 道 关口 ， 身 份 认证 
有 着 举足轻重 的 作用 。 

6.1.1 身份 认证 概述 


计算 机 系统 和 计算 机 网 络 是 一 个 虚拟 的 数字 世界 。 在 这 个 数字 世界 中 ， 一 切 信息 包括 用 
户 的 身份 信息 都 是 用 一 组 特定 的 数据 来 表示 的 ， 计 算 机 只 能 识别 用 户 的 数字 身份 ， 所 有 对 用 
户 的 授权 也 是 针对 用 户 数字 身份 的 授权 。 而 我 们 生活 的 现实 世界 是 一 个 真实 的 物理 世界 ， 每 
个 人 都 拥有 独一无二 的 物理 身份 。 如 何 保证 以 数字 身份 进行 操作 的 操作 者 就 是 这 个 数字 身份 
合法 拥有 者 , 也 就 是 说 保证 操作 者 的 物理 身份 与 数字 身份 相对 应 , 就 成 为 一 个 很 重要 的 问题 。 
在 真实 世界 中 ， 验 证 一 个 人 的 身份 主要 通过 三 种 方式 判定 : 一 是 根据 你 所 知道 的 信息 来 
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证 明 你 的 身份 (what you know)， 假 设 某 些 信息 只 有 某 个 人 知道 ， 比 如 暗号 等 ， 通 过 询问 这 个 
信息 就 可 以 确认 这 个 人 的 身份 ; 二 是 根据 你 所 拥有 的 东西 来 证 明 你 的 身份 (what you have), 假 
设 某 一 个 东西 只 有 某 个 人 有 ， 比 如 印章 等 ， 三 是 直接 根据 你 独一无二 的 身体 特征 来 证 明 你 的 
身份 (who you are)， 比 如 指纹 、 面 貌 等 。 

信息 系统 中 ， 对 用 户 的 身份 认证 手段 也 大 体 可 以 分 为 这 三 种 ， 仅 通过 一 个 条 件 的 符合 来 
证 明 一 个 人 的 身份 称 之 为 单 因子 认证 ， 由 于 仅 使 用 一 种 条 件 判断 用 户 的 身份 容易 被 仿冒 ， 我 
们 可 以 通过 组 合 两 种 不 同 条 件 来 证 明 一 个 人 的 身份 ， 称 之 为 双 因子 认证 。 

身份 认证 技术 从 是 否 使 用 硬件 可 以 分 为 软件 认证 和 硬件 认证 ， 从 认证 需要 验证 的 条 件 来 
看 ， 可 以 分 为 单 因子 认证 和 双 因 子 认证 。 从 认证 信息 来 看 ， 可 以 分 为 静态 认证 和 动态 认证 。 
身份 认证 技术 的 发 展 ， 经 历 了 从 软件 认证 到 硬件 认证 ， 从 单 因子 认证 到 双 因 子 认 证 ， 从 静态 
认证 到 动态 认证 的 过 程 。 

认证 通常 由 两 类 实体 组 成 : 一 类 实体 是 用 户 ， 他 们 要 向 另 一 类 实体 证 明 自 己 的 身份 ; 另 
一 类 实体 是 验证 者 ， 他 们 要 验证 用 户 的 身份 。 


6.1.2 ”常用 的 身份 认证 技术 


1. 用 户 名 /密码 方式 


用 户 名 /密码 是 最 简单 也 是 最 常用 的 身份 认证 方法 ， 它 是 基于 “what you know” 的 验证 
手段 。 每 个 用 户 的 密码 是 由 这 个 用 户 自 己 设 定 的 ， 只 有 他 自己 才 知 道 ， 因 此 只 要 能 够 正确 输 
入 密码 ， 计 算 机 就 认为 他 就 是 这 个 用 户 。 然 而 实际 上 ， 由 于 许多 用 户 为 了 防止 自己 忘记 密码 ， 
经 常 采用 诸如 自己 或 家 人 的 生日 .电话 号 码 等 容易 被 他 人 猜测 到 的 有 意义 的 字符 串 作为 密码 ， 
或 者 把 密码 抄 在 一 个 自己 认为 安全 的 地 方 ， 这 都 存在 着 许多 安全 隐患 ， 极 易 造 成 密码 泄露 。 
即使 能 保证 用 户 密码 不 被 泄漏 ， 由 于 密码 是 静态 的 数据 ， 并 且 在 验证 过 程 中 需要 在 计算 机 内 
存 和 网 络 中 传输 ， 而 每 次 验证 过 程 使 用 的 验证 信息 都 是 相同 的 ， 很 容易 被 驻 留 在 计算 机 内 存 
中 的 木马 程序 或 网 络 中 的 监听 设备 截获 。 因 此 用 户 名 /密码 方式 是 一 种 极 不 安全 的 身份 认证 方 
式 ， 可 以 说 基本 上 没有 任何 安全 性 可 言 。 

2.1C 卡 认证 


IC 卡 是 一 种 内 置 集成 电路 的 卡片 ， 卡 片 中 存 有 与 用 户 身份 相关 的 数据 ，IC 卡 由 专门 的 
厂商 通过 专门 的 设备 生产 ， 可 以 认为 是 不 可 复制 的 硬件 。IC 卡 由 合法 用 户 随 身 携带 ， 登 录 时 
必须 将 IC 卡 插 入 专用 的 读 卡 器 读 取 其 中 的 信息 , 以 验证 用 户 的 身份 。IC 卡 认 证 是 基于 “what 
you have” 的 手段 ,通过 IC 卡 硬件 不 可 复制 来 保证 用 户 身份 不 会 被 仿冒 。 然 而 由 于 每 次 从 IC 
卡 中 读 取 的 数据 还 是 静态 的 ， 通 过 内 存 扫 描 或 网 络 监听 等 技术 很 容易 截取 到 用 户 的 身份 验证 
信息 。 因 此 ， 吏 态 验 证 的 方式 还 是 存在 根本 的 安全 隐患 。 

3. 生物 特征 认证 


生物 特征 认证 是 指 采用 每 个 人 独一无二 的 生物 特征 来 验证 用 户 身份 的 技术 ,常见 的 有 指 
纹 识别 、 虹 膜 识别 等 。 从 理论 上 说 ， 生 物 特征 认证 是 最 可 靠 的 身份 认证 方式 ， 因 为 它 直接 使 
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用 人 的 物理 特征 来 表示 每 一 个 人 的 数字 身份 ， 不 同 的 人 具有 相同 生物 特征 的 可 能 性 可 以 忽略 
不 计 ， 因 此 几乎 不 可 能 被 仿冒 。 

生物 特征 认证 基于 生物 特征 识别 技术 ， 受 到 现在 的 生物 特征 识别 技术 成 熟 度 的 影响 ， 采 
用 生物 特征 认证 还 具有 较 大 的 局 限 性 。 首 先 ， 生 物 特 征 识别 的 准确 性 和 稳定 性 还 有 待 提 高 ， 
特别 是 如 果 用 户 身 体 受 到 伤 病 或 污渍 的 影响 ， 往 往 导 致 无 法 正常 识别 ， 造 成 合法 用 户 无 法 登 
录 的 情况 。 其 次 ， 由 于 研发 投入 较 大 和 产量 较 小 的 原因 ， 生 物 特征 认证 系统 的 成 本 非常 高 ， 
目前 只 适合 于 一 些 安全 性 要 求 非常 高 的 场合 (如 银行 、 部 队 等 ) 使 用 ， 还 无 法 做 到 大 面积 推广 。 

4. USB Key 认证 


基于 USB Key 的 身份 认证 方式 是 近 几 年 发 展 起 来 的 一 种 方便 、 安 全 、 经 济 的 身份 认证 技 
术 ， 它 采用 软 硬 件 相 结合 一 次 一 密 的 强 双 因子 认证 模式 ， 很 好 地 解决 了 安全 性 与 易 用 性 之 间 
的 矛盾 。USB Key 是 一 种 USB 接口 的 硬件 设备 ， 它 内 置 单片机 或 智能 卡 芯片 ， 可 以 存储 用 
户 的 密 钥 或 数字 证 书 ， 利 用 USB Key 内 置 的 密码 学 算法 实现 对 用 户 身份 的 认证 。 基 于 USB 
Key 身份 认证 系统 主要 有 两 种 应 用 模式 :一 种 是 基于 冲击 /相应 的 认证 模式 , 另 一 种 是 基于 PKI 
体系 的 认证 模式 。 


5. 动态 口令 /动态 密码 


动态 口令 技术 是 一 种 让 用 户 的 密码 按照 时 间或 使 用 次 数 不 断 动态 变化 ,每 个 密码 只 使 用 
一 次 的 技术 。 它 采用 一 种 称 之 为 动态 令 牌 的 专用 硬件 ， 内 置 电源 、 密 码 生成 芯片 和 显示 屏 ， 
密码 生成 芯片 运行 专门 的 密码 算法 ， 根 据 当 前 时 间或 使 用 次 数 生成 当前 密码 并 显示 在 显示 屏 
上 。 认 证 服务 器 采用 相同 的 算法 计算 当前 的 有 效 密 码 。 用 户 使 用 时 只 需要 将 动态 令 牌 上 显示 
的 当前 密码 输入 客户 端 计算 机 ， 即 可 实现 身份 的 确认 。 由 于 每 次 使 用 的 密码 必须 由 动态 令 牌 
来 产生 ， 只 有 合法 用 户 才 持 有 该 硬件 ， 所 以 只 要 密码 验证 通过 就 可 以 认为 该 用 户 的 身份 是 可 
靠 的 。 而 用 户 每 次 使 用 的 密码 都 不 相同 ， 即 使 黑客 截获 了 一 次 密码 ， 也 无 法 利用 这 个 密码 来 
仿冒 合法 用 户 的 身份 。 

动态 口令 技术 采用 一 次 一 密 的 方法 ， 有 效 保 证 了 用 户 身份 的 安全 性 。 

6. 数字 签名 


数字 签名 又 称 电子 加 密 ， 可 以 区 分 真实 数据 与 伪造 、 被 算 改 过 的 数据 。 这 对 于 网 络 数据 
传输 ， 特 别 是 电子 商务 极其 重要 ， 一 般 要 采用 一 种 被 称 为 摘要 的 技术 ， 摘 要 技术 主要 采用 
HASH( 哈 希 ) 函 数 。HASH 函数 提供 了 这 样 一 种 计算 过 程 : 输入 一 个 长 度 不 固定 的 字符 串 , 返 
回 一 串 定 长 度 的 字符 串 ， 又 称 HASH 值 ， 将 一 段 长 的 报 文通 过 函数 变换 ， 转 换 为 一 段 定 长 
的 报 文 ， 即 摘要 。 身 份 识别 是 指 用 户 向 系统 出 示 自 己 身份 证 明 的 过 程 ， 主 要 使 用 约定 口令 、 
智能 卡 和 用 户 指纹 、 视 网 膜 和 声音 等 生理 特征 。 数 字 证 明 机 制 提供 利用 公开 密 钥 进行 验证 的 
方法 。 
6.1.3 ”常用 的 身份 认证 机 制 

下 面 讨论 几 种 常用 的 身份 认证 机 制 ， 并 对 它们 的 安全 性 进行 分 析 。 
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1. RADIUS 认证 机 制 


RADIUSGRemote Authentication Dial In User Service) 协 议 最 初 是 由 Livingston 公司 提出 
的 ， 原 先 的 目的 是 为 拨号 用 户 进行 认证 和 计 费 。 后 来 经 过 多 次 改进 ， 形 成 了 一 项 通用 的 认证 
计 费 协议 。RADIUS 认证 要 用 到 基于 挑战 /应 答 (Challenge/Response) 的 认证 方式 。 

RADIUS 是 一 种 C/S 结构 的 协议 , 它 的 客户 端 最 初 就 是 NAS(Net Access Server), 现在 任 
何 运行 RADIUS 客户 端 软件 的 计算 机 都 可 以 成 为 RADIUS 的 客户 端 , RADIUS 协议 认证 机 
制 灵活 ， 可 以 采用 PAP、CHAP 或 者 Unix 登录 认证 等 多 种 方式 。RADIUS 是 一 种 可 扩展 的 
协议 ， 它 进行 的 全 部 工作 都 是 基于 Attribute-Length-Value 的 向 量 进 行 的 。 

RADIUS 的 基本 工作 原理 是 用 户 接 入 NAS, NAS 向 RADIUS 服务 器 使 用 Access-Require 
数据 包 提 交 用 户 信息 ， 包 括 用 户 名 、 密 码 等 相关 信息 ， 其 中 用 户 密码 是 经 过 MD5 加 密 的 ， 
双方 使 用 共享 密 钥 ， 这 个 密 钥 不 经 过 网 络 传播 ; RADIUS 服务 器 对 用 户 名 和 密码 的 合法 性 进 
行 检验 ， 必 要 时 可 以 提出 一 个 Challenge， 要 求 进一步 对 用 户 认证 ， 也 可 以 对 NAS 进行 类 似 
的 认证 ， 如 果 合 法 ， 给 NAS 返回 Access-Accept 数据 包 ， 人 允许 用 户 进行 下 一 步 工作 ， 否 则 返 
回 Access-Reject 数据 包 ， 拒 绝 用 户 访问 ， 如 果 允 许 访 问 ，NAS 向 RADIUS 服务 器 提出 计 费 
请 求 Account-Require，RADIUS 服务 器 响应 Account-Accept， 对 用 户 的 计 费 开始 ， 同 时 用 户 
可 以 进行 自己 的 相关 操作 。 

RADIUS 服务 器 和 NAS 服务 器 通过 UDP 协议 进行 通信 ，RADIUS 服务 器 的 1812 端口 
负责 认证 ，1813 端口 负责 计 费 工作 。 采 用 UDP 的 基本 考虑 是 因为 NAS 和 RADIUS 服务 器 
大 多 在 同一 个 局 域 网 中 ， 使 用 UDP 更 加 快捷 方便 。 

RADIUS 协议 还 规定 了 重 传 机 制 。 如 果 NAS 向 某 个 RADIUS 服务 器 提交 请 求 没有 收 到 
返回 信息 ， 那 么 可 以 要 求 备 份 RADIUS 服务 器 重 传 。 由 于 有 多 个 备份 RADIUS 服务 器 ， 因 
此 NAS 进行 重 传 的 时 候 ， 可 以 采用 轮 询 的 方法 。 如 果 备 份 RADIUS 服务 器 的 密 钥 和 以 前 
RADIUS 服务 器 的 密 钥 不 同 ， 则 需要 重新 进行 认证 。 

RADIUS 协议 应 用 范围 很 广 ， 包 括 普 通电 话 、 上 网 业务 计 费 ， 对 VPN 的 支持 可 以 使 不 
同 的 拨 入 服务 器 的 用 户 具 有 不 同 的 权限 。 

2. 基于 DCE/Kerberos 的 认证 机 制 


DCE/Kerberos 是 一 种 被 证 明 为 非常 安全 的 双向 身份 认证 技术 .DCE/Kerberos 的 身份 认证 
强调 了 客户 机 对 服务 器 的 认证 ; 而 其 他 产品 只 解决 了 服务 器 对 客户 机 的 认证 。 

下 面 简要 介绍 DCE/Kerberos 的 身份 认证 的 形式 化 过 程 。 

1) 形式 化 过 程 涉及 的 元 素 

在 开始 之 前 ， 首 先 要 对 过 程 中 涉及 的 元 素 做 一 个 定义 ， 有 具体 如 下 。 

K: 密 钥 。 

A: 身份 认证 服务 器 。 

C: 用 户 。 

P: 访问 授权 服务 器 。 

PAC: 访问 授权 服务 器 签发 的 授权 凭证 。 
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S: 应 用 服务 器 ， 如 Web 服务 器 、 数 据 库 服务 器 等 。 

{.….}Kan: 表示 用 Ks 加密 大 括号 中 的 内 容 。 

2) DCE/Kerberos 的 身份 认证 的 形式 化 过 程 

DCE/Kerberos 的 身份 认证 的 形式 化 过 程 大 致 有 如 下 几 个 步骤 。 

第 一 步 : 用 户 C 从 身份 认证 服务 器 A 获得 通信 和 凭据 区 ,C}Ks， 该 凭证 可 以 理解 为 由 身份 
认证 服务 器 签发 的 一 次 性 电子 身份 证 或 电子 护照 。 

第 二 步 : 用 户 C 使 用 第 一 步 得 到 的 凭据 {1,C}K。 申请 访问 授权 服务 器 P 的 通信 凭据 
会 2,C}Kp， 该 凭证 可 以 理解 为 身份 认证 服务 器 为 用 户 签发 了 访问 授权 服务 器 的 电子 介绍 信 。 

第 三 步 : 用 户 向 授权 服务 器 P 申请 授权 凭证 PAC。 授权 服务 器 根据 身份 认证 服务 器 签发 
的 电子 介绍 信 ， 为 该 用 户 签发 一 次 性 的 出 境 许可 。 

第 四 步 : 用 户 申 请 能 够 向 服务 器 S 证 实 自己 身份 、 并 得 到 授权 许可 的 凭证 {PAC, Ka}K。， 
该 凭证 可 以 理解 为 应 用 服务 器 为 该 用 户 签发 了 一 次 性 的 入 境 签证 。 

第 五 步 : 用 户 C 获得 与 应 用 服务 器 S 通信 的 密 钥 K5， 该 密 钥 可 以 理解 为 应 用 服务 器 为 
用 户 签发 了 一 次 性 的 境内 通行 证 。 

3. 基于 公共 密 钥 的 认证 机 制 


目前 在 Intemet 上 也 使 用 基于 公共 密 钥 的 安全 策略 进行 身份 认证 ， 上 有 具体 而 言 ， 就 是 使 用 
符合 义 .509 的 身份 证 明 。 使 用 这 种 方法 必须 有 一 个 第 三 方 的 证 明 授权 (CA) 中 心 为 客户 签发 身 
份 证 明 。 客 户 和 服务 器 各 自从 CA 获取 证 明 ， 并 且 信 任 该 证 明 授 权 中 心 。 

在 会 话 和 通讯 时 首先 交换 身份 证 明 ， 其 中 包含 了 将 各 自 的 公 钥 交 给 对 方 ， 然 后 才 使 用 对 
方 的 公 钥 验 证 对 方 的 数字 签名 、 交 换 通 讯 的 加 密 密 钥 等 。 在 确定 是 否 接受 对 方 的 身份 证 明 时 ， 
还 需 检 查 有 关 服 务 器 ， 以 确认 该 证 明 是 否 有 效 ， 如 图 6-1 所 示 。 


证 明 授权 (CA) 证 明 授权 (CA) 


从 CA 获得 证 明 


为 认证 交换 证 明 ( 访 问 
控制 的 用 户 凭证 ) 


的 客户 端 公 钥 管理 服务 器 
证 明 接受 或 撤销 表 证 明 接受 或 撤销 表 
服务 器 (在 线 服务 ) 服务 器 (在 线 服务 ) 


图 6-1 基于 公共 密 钥 的 认证 系统 


在 一 般 的 实现 机 制 中 ， 常 将 基于 公共 密 钥 的 SSL 策略 集成 在 一 起 ， 多 用 在 Web 应 用 方 
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面 。 认 证 服务 器 通过 公共 密 钥 管 理 服 务 器 (PKMS) 与 SSL 连接 起 来 。PKMS 实际 是 身份 认证 
网 关 和 建立 基于 SSL 的 加 密 通 道 ， 客 户 端 不 必 使 用 客户 端 软件 ， 可 使 用 SSL 浏览 器 登录 到 
PKMS, PKMS 将 用 户 的 身份 映射 成 系统 用 户 身份 并 且 通 过 RPC 进行 传输 , 也 就 是 将 SSL 的 
用 户 标识 传递 给 认证 服务 器 。PKMS 用 来 与 Intemet 用 户 之 间 临 时 建立 起 相互 信任 的 安全 会 
话 过 程 ， 然 后 将 Intemet 用 户 身份 映射 到 系统 访问 控制 机 制 可 以 管理 的 用 户 身份 ， 如 图 6-2 
所 示 。 


SSL 安 全 性 


SSL 浏 览 器 公 钥 管理 服务 器 认证 服务 器 


图 6-2 SSL 浏览 器 、 PKMS、 认 证 服务 器 的 交互 


基于 公共 密 钥 的 认证 过 程 如 下 。 

在 PKMS 和 使 用 支持 SSL、S-HTTP 的 浏览 器 用 户 之 间 的 身份 验证 是 建立 在 公开 密 钥 加 
密 数 字 签 名 和 授权 证 明之 上 的 。 数 字 签 名 工作 为 : 用 户 产 生 一 段 文字 信息 ， 然 后 对 这 段 文字 
信息 进行 单 向 不 可 逆 的 变换 。 用 户 再 用 自己 的 秘密 密 钥 对 生成 的 文字 变换 进行 加 密 ， 并 将 原 
始 的 文字 信息 和 加 密 后 的 文字 变换 结果 传送 给 指定 的 接收 者 。 这 段 经 过 加 密 的 文字 变换 结果 
就 被 称 作 数字 签名 。 

文字 信息 和 加 密 后 的 文字 变换 的 接收 者 将 收 到 的 文字 信息 进行 同样 的 单项 不 可 逆 的 变 
换 。 同 时 也 用 发 送 方 的 公开 密 钥 对 加 密 的 文字 变换 进行 解密 。 如 果 解 密 后 的 文字 变换 和 接收 
方 自己 产生 的 文字 变换 一 致 ， 接 收 方 就 可 以 相信 对 方 的 身份 ， 因 为 只 有 发 送 方 的 秘密 密 钥 能 
够 产生 加 密 后 的 文字 变换 。 

要 向 发 送 方 验证 接收 方 的 身份 ， 接 收 方 根据 自己 的 密 钥 创建 一 个 新 的 数字 签名 ， 然 后 习 
复 上 述 过程 。 

一 旦 两 个 用 户 互相 验证 了 身份 ,他 们 就 可 以 交换 用 来 加 密 数据 的 密 钥 (如 DES 加 密 密 钥 )。 
公开 密 钥 加 密 方法 对 于 大 量 的 数据 加 密 来 说 速度 太 慢 。 浏 览 器 应 该 能 够 在 类 似 的 交换 过 程 使 
用 它 的 公开 /秘密 密 钥 组 合 对 来 验证 它 的 身份 。 但 是 目前 还 没有 出 现 支 持 浏览 器 身份 验证 的 
产品 。 

为 了 利用 数字 签名 ， 接 收 方 必须 拥有 发 送 方 的 公开 密 钥 。 公 开 密 钥 是 通过 授权 证 明 
(Certificates of Authority，CA) 来 发 布 的 。 PKMS 把 它 的 经 公开 密 钥 加 密 的 CA 发 送 给 浏览 器 。 
多 数 公 钥 产品 只 使 用 了 服务 器 方 的 身份 验证 ， 所 以 在 CA 中 只 需要 包含 PKMS 的 公开 密 钥 ， 
这 些 授权 证 明 是 由 可 信赖 的 第 三 方 生成 的 并 且 经 过 可 信赖 的 第 三 方 用 秘密 密 钥 “数字 签名 ”的 。 

用 户 的 浏览 器 (或 者 其 他 客户 方 的 程序 ) 要 接收 由 受信 和 赖 的 第 三 方 签发 的 正确 的 CA 就 必 
要 配置 受信 和 赖 的 第 三 方 的 公开 密 钥 。 浏 览 器 用 户 使 用 配置 好 受信 赖 的 第 三 方 公开 密 钥 的 浏 
览 器 来 验证 CA 中 的 受信 有赖 的 第 三 方 的 数字 签名 。 如 果 该 浏览 器 没有 配置 受信 和 赖 的 第 三 方 的 
公开 密 钥 , 它 就 无 法 验证 安全 网 关 的 身份 。 一 些 浏览 器 预先 配置 有 受信 赖 的 第 三 方 公开 密 钥 ， 
并 且 用 户 不 能 增加 其 他 的 签发 CA 的 受信 赖 的 第 三 方 。 这 限制 了 将 无 关公 司 推出 的 浏览 器 的 


mn 


党 
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用 户 与 公司 拥有 的 服务 器 之 间 建 立 相 互信 任 关 系 的 能 

基于 DCE/Kerberos 和 公共 密 钥 的 用 户 身份 认证 是 非常 安全 的 用 户 认证 形式 ， 但 是 ， 它 
们 实现 起 来 比较 复杂 ， 要 求 通信 的 次 数 多 ， 而 且 计 算 量 较 大 。 

4. 基于 挑战 /应 答 的 认证 机 制 

顾名思义 ,基于 挑战 /应 答 (Challenge/Response) 方 式 的 身份 认证 机 制 就 是 每 次 认证 时 认证 
服务 器 端 都 给 客户 端 发 送 一 个 不 同 的 “挑战 ” 字 串 ， 客 户 端 程序 收 到 这 个 “挑战 ” 字 串 后 ， 
做 出 相应 的 “应 答 ”。 

1) 认证 过 程 

一 个 典型 的 认证 过 程 如 图 6-3 所 示 。 


外 认证 请 求 {Userip) {User,IP} 


挑战 RR】 {R} 
认证 服务 器 
8 应 答 {User,H(Kuser+R)} 


认证 结果 Be 
0 务 器 
客户 
图 6-3 客户 认证 过 程 


图 中 的 及 代表 32 位 的 随机 数 ， 瑟 代表 单 向 的 HASH 函数 ，Kuser 代表 用 户 的 密 钥 。 

认证 过 程 如 下 。 

(1) 客户 向 认证 服务 器 发 出 请 求 ， 要 求 进行 身份 认证 。 

(2) 认证 服务 器 从 用 户 数据 库 中 查询 用 户 是 否 是 合法 的 用 户 , 若 不 是 , 则 不 做 进一步 处 理 。 

G) 认证 服务 器 内 部 产生 一 个 随机 数 ， 作 为 “提问 ”发 送 给 客户 。 

(4) 客户 将 用 户 名 字 和 随机 数 合 并 ， 使 用 单 向 Hash 函数 (例如 MD5 算法 ) 生 成 一 个 字 贡 
串 作为 应 答 。 

(5) 认证 服务 器 将 应 答 串 与 自己 的 计算 结果 比较 ， 若 二 者 相同 ， 则 通过 一 次 认证 ; 否则 ， 
认证 失败 。 

(6) 认证 服务 器 通知 客户 认证 成 功 或 失败 。 

以 后 的 认证 由 客户 不 定时 地 发 起 ， 过 程 中 没有 了 客户 认证 请 求 一 步 。 两 次 认证 的 时 间 间 
隔 不 能 太 短 ， 否 则 就 给 网 络 、 客 户 和 认证 服务 器 带 来 太 大 的 开销 ;也 不 能 太 长 ， 否 则 不 能 保 
证 用 户 不 被 他 人 盗用 下 地 址 ， 一 般 定 为 1~2 分 钟 。 
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2) 密 钥 的 分 配 和 管理 

密 钥 的 分 配 由 维护 模块 负责 ， 当 用 户 注册 时 ， 自 行 设 定 自己 的 口令 字 。 用 户 的 密 钥 由 口 
令 字 生 成 。 

一 个 口令 字 必 须 经 过 两 次 口令 字 检 查 。 第 一 次 由 注册 程序 检查 ， 强 制 口 令 字 必 须 有 足够 
的 长 度 (如 8 个 字符 )。 口 令 字 被 加 密 后 送 入 数据 库 中 ， 这 个 口令 字 标 记 为 “未 检查 的 ”。 第 
二 次 由 离线 的 口令 字 检 查 工具 进行 检查 ， 将 弱 口 令 字 进 行 标记 ， 当 下 一 次 用 户 认证 时 ， 认 证 
服务 器 将 强制 用 户 修改 口令 字 。 密 钥 的 在 线 修改 由 认证 服务 器 完成 ， 它 的 过 程 与 认证 过 程 基 
本 类 似 。 

需要 说 明 的 是 ， 每 种 认证 机 制 都 不 是 绝对 的 ， 它 们 之 间 有 些 方 式 都 是 类 似 的 ， 实 际 选择 
的 时 候 有 可 能 会 结合 两 种 或 两 种 以 上 的 认证 技术 。 随 着 Intemet 技术 尤其 是 网 络 安 全 技术 的 
发 展 ， 必 将 涌现 出 更 多 更 好 的 用 户 认证 机 制 。 


6.2 访问 控制 


随 着 互联 网 的 发 展 ， 随 之 而 来 的 就 是 计算 机 资源 所 面临 的 一 大 难题 ， 计 算 机 数据 安全 管 
理 。 在 国际 标准 化 组 织 4SO) 对 计算 机 安全 标准 [SO7498 一 2) 定 义 的 五 个 层次 安全 服务 中 ， 访 
问 控制 是 其 中 一 个 重要 的 组 成 部 分 。 计 算 机 安全 的 根本 所 在 就 是 控制 信息 资源 如 何 被 用 户 访 
问 ， 因 此 访问 控制 技术 是 一 项 非常 重要 的 安全 手段 ， 它 控制 用 户 与 系统 之 间 以 及 其 他 系统 之 
间 的 通信 和 交互 。 


6.2.1 访问 控制 概述 


访问 控制 技术 可 以 限制 对 计算 机 关键 资源 的 访问 ， 防 止 非法 用 户 进入 系统 和 合法 用 户 对 
系统 资源 的 非法 使 用 。 访问 控 制 的 手段 包括 用 户 识别 代码 、 口 令 、 登 录 控制 、 资 源 授权 (例如 
用 户 配置 文件 、 资 源 配置 文件 和 控制 列表 )、 授 权 核 查 、 日 志和 审计 。 到 目前 为 止 , 访问 控制 
已 经 深入 到 了 计算 机 系统 的 各 个 层面 与 细节 。 举 个 例子 ， 比 方 当 用 户 需要 使 用 计算 机 时 ， 系 
统 要 求 用 户 输入 用 户 名 和 口令 , 这 就 是 一 种 访问 控制 , 可 以 确保 合法 用 户 正 确 地 使 用 计算 机 ; 
当 访 问 外 部 网 络 的 资源 时 ,防火墙 将 验证 用 户 的 访问 是 否 被 允许 , 这 也 是 一 种 形式 的 访问 控制 。 


6.2.2 ”访问 控制 的 基本 要 素 


访问 控制 技术 的 目标 是 防止 对 任何 资源 (如 计算 机 资源 、 通 信 资 源 或 者 信息 资源 等 ) 进 行 
未 授权 访问 ， 从 而 使 计算 机 系统 在 合法 范围 内 被 使 用 ， 决 定 用 户 能 做 什么 ， 也 决定 代表 一 定 
用 户 权益 的 程序 能 做 什么 。 未 授权 的 访问 是 指 未 经 授权 的 使 用 、 汇 露 、 修 改 、 销 毁 信息 以 及 
发 送 指令 等 ， 非 法 用 户 进入 系统 ， 或 合法 用 户 对 系统 资源 的 非法 使 用 。 总 而 言 之 ， 访 问 控制 
是 给 予 组 织 控制 、 限 制 、 监 控 以 及 保护 资源 的 可 用 性 、 完 整 性 和 机 密 性 的 一 种 能 力 。 

1) 访问 控制 的 主要 目标 

访问 控制 的 主要 目标 包括 如 下 方面 。 

e 机 密 性 要 求 : 保证 信息 不 被 泄露 给 非 授权 的 人 或 者 实体 。 
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e 完整 性 要 求 : 保证 数据 的 一 致 性 ， 防 止 数据 被 非 授权 建立 、 修 改 和 破坏 。 
e 可 审计 性 : 对 非法 用 户 的 入 侵 行为 、 信 息 的 泄露 与 破坏 的 情况 能 够 跟踪 审计 。 
e@ 可 用 性 : 保证 授权 用 户 对 系统 信息 的 可 访问 性 。 
2) 访问 控制 的 基本 要 素 
访问 控制 是 指 主 体 根据 某 些 控制 策略 或 权限 对 客体 本 身 或 是 其 资源 进行 的 不 同 的 授权 
访问 。 访问 控制 包括 三 个 要 素 : 主体 、 客 体 和 控制 策略 。 
e 主体 (Subject): 是 一 个 主动 的 实体 ， 是 访问 的 发 起 者 ， 但 不 一 定 是 访问 的 执行 者 ， 
我 们 标识 为 S。 
e 客体 (Object): 是 接受 主体 或 主体 发 动 的 对 象 进行 访问 的 被 动 实体 , 我 们 标识 为 0。 
e 控制 策略 : 是 主体 对 客体 的 操作 行为 集合 和 约束 条 件 集合 ， 标 识 为 KS， 通 常用 P 
表示 。 
3) 访问 控制 的 实现 
访问 控制 系统 的 三 个 要 素 之 间 可 以 用 三 元 组 S、O、P) 来 表示 (主体 、 客 体 、 许 可 )， 当 主 
体 S 提出 正常 的 请 求 信息 时 ， 信 息 系统 的 KS 监控 器 判断 是 否 允 许 或 拒绝 请 求 ， 即 对 主体 进 
行 认证 ， 主 体 通过 KS 监控 器 的 验证 才能 访问 客体 。 访 问 控制 的 过 程 主要 包括 认证 、 控 制 策 
略 的 具体 实现 和 审计 三 个 方面 的 内 容 。 
e@ 认证 : 包括 主体 对 客体 的 识别 认证 和 客体 对 主体 检验 认证 。 
e 控制 策略 的 具体 实现 : 指 设 定 规则 集合 应 该 确保 正常 用 户 对 信息 资源 的 合法 使 用 。 
e 审计 : 因为 客体 的 管理 者 ( 即 管理 员 ) 有 操作 赋予 权 ， 有 可 能 滥用 这 种 权利 ， 这 是 
在 策略 中 无 法 加 以 约束 的 ， 因 此 必须 对 这 些 行为 进行 记录 ， 从 而 达到 监督 和 保证 
访问 控制 正常 实现 的 目的 ， 这 就 是 审计 的 重要 意义 。 


6.3 访问 控制 类 型 


访问 控制 机 制 可 以 限制 对 关键 资源 的 访问 ， 防 止 非法 用 户 进入 系统 ， 以 及 合法 用 户 对 系 
统 资源 的 非法 使 用 。 目 前 的 主流 访问 控制 技术 有 : 自主 访问 控制 (Discretionary Access Control 
Model, DAC)、 强 制 访 问 控制 (Mandatory Access Control Model，MAC)、 基 于 角色 的 访问 控制 
(Role Based Access Control，RBAC)。 


6.3.1 自主 型 访问 控制 (DAC) 


自主 访问 控制 模型 也 称 为 基于 身份 的 访问 控制 QBAC)， 是 针对 访问 资源 的 用 户 或 应 用 位 
置 访问 控制 权限 ， 根 据 主 体 的 身份 及 允许 访问 的 权限 进行 决策 。 自 主 是 指 具有 某 种 访问 能 
的 主体 能 够 自主 地 将 访问 权 的 某 个 子 集 授予 其 他 主体 。 
自主 访问 控制 可 以 分 为 以 下 两 类 。 
e 基于 个 人 的 策略 : 根据 哪些 用 户 可 对 一 个 目标 实施 哪 一 种 行为 的 列表 来 表示 ， 等 
于 用 一 个 目标 的 访问 矩阵 的 列 来 描述 。 
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e 基于 组 的 策略 : 一 组 用 户 对 于 一 个 目标 具有 同样 的 访问 许可 ， 是 基于 身份 策略 的 
另 一 种 情形 ， 相 当 于 把 访问 矩阵 中 的 多 个 行 压 缩 为 一 个 列 。 实 际 使 用 时 ， 应 先 定 
义 组 的 成 员 ， 对 用 户 组 授权 ， 同 一 个 组 可 以 被 重复 使 用 。 可 以 改变 组 的 成 员 。 

自主 访问 控制 的 特点 是 灵活 性 高 ， 可 被 大 量 采 用 ; 缺点 是 : 安全 性 低 。 自 主 访问 控制 存 

在 的 问题 是 配置 的 粒度 小 ， 配 置 的 工作 量 大 ， 效 率 有 些 低 。 


6.3.2 ”强制 型 访问 控制 (MAC) 


强制 访问 控制 (MAC) 也 称 为 基于 规则 的 访问 规则 。 强 制 访问 控制 在 自主 访问 控制 的 基础 
上 ， 增 加 了 对 资源 的 属性 (安全 属性 ) 划 分 ， 规 定 不 同属 性 下 的 访问 权限 。 强 制 访问 控制 模型 
最 初 是 为 了 实现 比 自主 访问 控制 更 加 严格 的 访问 控制 策略 ， 美 国政 府 和 军 方 开发 了 各 种 各 样 
的 强制 访问 控制 模型 ， 这 些 方案 或 模型 都 有 比较 完善 和 详尽 的 定义 。 随 后 ， 逐 渐 形 成 强制 访 
问 的 模型 ， 并 得 到 广泛 的 关注 和 应 用 。 在 自主 访问 控制 中 ， 用 户 和 客体 资源 都 被 赋予 一 定 的 
安全 级 别 , 用 户 不 能 改变 自身 和 客体 的 安全 级 别 , 只 有 管理 员 才能 够 确定 用 户 和 组 的 访问 权限 。 


问 控制 技术 中 , 某 一 合法 用 户 可 以 任意 运行 一 段 程序 来 修改 该 用 户 拥有 的 文件 访问 控制 信息 ， 
而 操作 系统 无 法 区 别 这 种 修改 是 用 户 自 己 的 合法 操作 还 是 计算 机 病毒 的 非法 操作 ， 另 外 ， 也 
无 法 防止 计算 机 病毒 将 信息 通过 共享 客体 文件 、 内 存 等 ) 从 一 个 进程 传 给 另 一 个 进程 。 

在 强制 访问 控制 中 ， 系 统 对 主体 与 客体 都 分 配 一 个 特殊 的 一 般 不 能 更 改 的 安全 属性 ， 系 
统 通过 比较 主体 与 客体 的 安全 属性 来 决定 一 个 主体 是 否 能 够 访问 某 个 客体 。 用 户 为 某 个 目的 
而 运行 的 程序 不 能 改变 它 自己 及 任何 其 他 客体 的 安全 属性 ， 包 括 该 用 户 自己 拥有 的 客体 。 强 
制 访问 控制 还 可 以 阻止 某 个 进程 生成 共享 文件 并 通过 这 个 共享 文件 向 其 他 进程 传递 信息 。 


6.3.3 ”基于 角色 的 访问 控制 (RBAC) 


美国 George Mason 大 学 信息 系统 和 系统 工程 系 的 R.Sandhu 等 人 在 对 RBAC( 基 于 角色 的 
访问 控制 ) 进 行 深入 研究 的 基础 上 ， 于 1996 年 提出 了 一 个 基于 角色 的 访问 控制 参考 模型 
(RBAC96 模型 )， 该 模型 对 角色 访问 控制 产生 了 重要 影响 。 同 年 ，George Mason 大 学 的 Ravi 
等 人 提出 了 RBAC96 的 基础 模型 RBAC0、 高 级 模型 RBAC1、 约 束 模型 RBAC2 和 组 合 模型 
RBAC3。 

由 于 RBAC96 模型 全 面 、 系 统 地 描述 了 RBAC 多 方面 、 多 层次 的 意义 ， 从 而 得 到 了 广 
泛 的 认可 。 RBAC96 模型 包括 4 个 不 同 层次 , 分 别 为 RBAC0 、RBAC1、RBAC2、RBAC3。 
其 中 ，RBAC90 是 基础 模型 ， 定 义 了 支持 RBAC 的 最 小 需求 ， 如 用 户 、 角 色 、 权 限 、 会 话 等 
概念 -RBAC1 和 RBAC2( 高 级 模型 ) 在 RBACO0 的 基础 上 , 又 加 上 了 各 自 独立 的 特点 。 在 RBAC1 
中 加 入 了 角色 继承 关系 ， 可 以 根据 组 织 内 部 权 
力 和 责任 的 结构 来 构造 角色 与 角色 之 间 的 层次 
关系 : 在 RBAC2 中 加 入 了 各 种 用 户 与 角色 之 
间 、 权 限 与 角色 之 间 以 及 角色 与 角色 之 间 的 约 
束 关 系 ， 如 角色 互 斥 、 角 色 最 大 成 员 数 等 。 
RBAC1 和 RBAC2 之 间 不 具有 可 比 性 。 
RBAC3( 组 合 模型 ) 是 对 RBAC1 和 RBAC2 的 集 
成 ， 它 不 仅 包括 角色 的 层次 关系 ， 还 包括 约束 [4 DAG He 
关系 。RBAC96 模型 间 的 关系 如 图 6-4 所 示 。 
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RBAC 模型 的 基本 思路 是 在 用 户 和 访问 许可 权 之 间 引 入 角色 (Role) 的 概念 ， 用 户 与 特定 
的 一 个 或 多 个 角色 相 联 系 ， 角 色 与 一 个 或 多 个 访问 许可 权 相 联 系 ， 角 色 可 以 根据 实际 的 工作 
需要 生成 或 取消 ， 而 用 户 可 以 根据 自己 的 需要 动态 地 激活 自己 拥有 的 角色 ， 从 而 避免 了 用 户 
无 意 中 危 害 系 统 安 全 。RBAC 技术 由 于 其 对 角色 和 层次 化 管理 的 引进 ， 特 别 适 用 于 用 户 数量 
庞大 、 系 统 功 能 不 断 扩 展 的 大 型 系统 。 
通常 ， 实 现 RBAC 模型 的 基本 原则 如 下 所 述 。 
e 角色 继承 项 目 。 
e 最 小 权限 原则 。 最 小 权限 原则 是 指 用 户 所 拥有 的 权力 不 能 超过 他 执行 工作 时 所 需 
的 权限 。 
e 职责 分 离 原 则 。 对 于 某 些 特定 的 操作 集 ， 某 一 个 角色 或 用 户 不 可 能 同时 独立 地 完 
成 所 有 这 些 操作 。 


6.4 访问 控制 机 制 


6.4.1 访问 控制 列表 


访问 控制 列表 (Access Control List，ACL) 可 以 决定 任何 一 个 特定 的 主体 是 否 可 以 对 某 一 
个 客体 进行 访问 。 它 是 利用 在 客体 上 附加 一 个 主体 明细 表 的 方式 来 表示 访问 控制 的 矩阵 。 表 
中 的 每 一 项 包括 主体 的 身份 以 及 对 该 客体 的 访问 权 。 

该 表 通 常 包 含有 此 文件 的 用 户 身份 、 文 件 属 主 、 用 户 组 ， 以 及 文件 属 主 或 用 户 组 成 员 对 
此 文件 的 访问 权限 。 
6.4.2 能力 机 制 


能 力 (Capabilities) 决 定 用 户 对 客体 的 访问 权限 (起 、 写 、 执 行 )， 在 这 种 机 制 下 ， 系 统 必须 
对 每 个 用 户 维护 一 份 能 力 表 ， 表 中 存 有 该 用 户 对 系统 中 各 目标 客体 的 访问 权限 信息 。 在 用 户 
较 少 的 系统 中 ， 这 种 方式 比较 好 。 但 是 一 旦 用 户 数目 增加 ， 便 要 花费 大 量 的 时 间 和 系统 资源 
来 维护 每 个 用 户 的 能 力 表 ， 这 种 资源 上 的 消耗 必然 成 为 系统 设计 者 需要 考虑 的 因素 之 一 。 


6.4.3 ”安全 标签 机 制 


男 一 种 机 制 是 采用 某 种 特殊 标签 ， 例 如 前 级 ， 包 含 受 保护 的 客体 名 及 主体 对 它 的 访问 权 
限 。 当 系统 中 某 个 主体 需要 访问 某 个 客体 时 ， 访 问 控制 机 制 将 检查 主体 的 前 绥 里 是 否 具 有 它 
所 请 求 的 访问 权 。 这 种 方式 有 三 个 问题 需要 考虑 : 前 绥 大 小 的 限制 ， 当 生成 一 个 新 的 客体 或 
者 改变 某 个 客体 的 访问 权时 ,如何 对 主体 分 配 访问 权 ; 如 何 决定 可 访问 某 个 客体 的 所 有 主体 。 
| 于 客体 名 通常 是 杂乱 无 草 的 ， 所 以 很 难 进行 分 类 ， 而 且 当 一 个 主体 可 以 访问 多 个 客体 时 ， 
它 的 前 级 也 将 非常 大 ， 这 样 也 很 难于 管理 。 男 外 ， 受 保护 的 客体 必须 具有 唯一 的 名 字 ， 互 相 
不 能 重 名 ， 因 此 造成 客体 名 的 数目 庞大 。 此 外 , 在 进行 客体 创建 撤销 动作 或 变更 访问 权限 时 ， 
可 能 会 涉及 许多 主体 前 缀 的 更 新 ， 因 此 需要 进行 的 操作 比较 多 。 
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本 章 小 结 


本 章 主要 介绍 了 身份 认证 和 访问 控制 的 基本 知识 ， 包 括 : 身份 认证 的 概念 ， 常用 身份 认 
证 技术 和 机 制 (对 几 种 用 户 认证 机 制 : RADIUS 认证 、 基 于 DCE/Kerberos 的 认证 、 基 于 公共 
密 钥 的 认证 、 基 于 挑战 /应 答 的 认证 机 制 进行 了 剖析 ); 访问 控制 的 原理 和 基本 要 素 ; 访问 控 
制 的 几 种 基本 类 型 DAC、MAC 和 RBAC)， 以 及 常见 的 几 种 访问 控制 机 制 进行 了 阐述 , 希望 
读者 通过 本 章 的 学 习 能 够 掌握 基础 的 身份 认证 和 访问 控制 相关 知识 。 


课 后 练习 


一 、 填空 
1. 常用 的 身份 认证 技术 主要 有 ( )\( )\( )\( 入 
( )。 
2. RADIUS 是 一 种 ( ) 结 构 的 协议 ， 它 的 客户 端 最 初 是 ( )， 认 证 机 
制 灵活 ， 可 以 采用 PAP、CHAP 或 ( ) 等 多 种 方式 。 
3. DCE/Kerberos 是 一 种 被 证 明 为 非常 安全 的 ( ) 认 证 技术 。 
4. 访问 控制 的 主要 目标 包括 机 密 性 要 求 、( )、( )、( )。 
5. 目前 的 主流 访问 控制 技术 有 ( )、( )、( )。 
二 、 选择 题 
1. 以 下 口令 中 ，(  ) 好 口令 ，(  ) 是 坏 口令 。 
A. Mary B. ga2work C. cat&dog D3.151Spi 
2. 以 下 认证 技术 中 ， 属 于 身份 认证 范畴 的 是 (。”)。 
A.IC 卡 认证 B. 生物 特征 认证 
C.USB KEY 认证 D. 动态 口令 /动态 密码 
3. 目前 的 主流 访问 控制 技术 有 (  ” )。 
A. 基于 角色 的 访问 控制 B. 强制 访问 控制 
C. 自主 访问 控制 D. Kerberos 
4. 验证 一 个 人 身份 的 手段 大 体 可 以 分 为 三 种 ， 包 括 ( 。 )。 
A. what you know B. what you have 
C. what ls your name D. who are you 


5. 现实 生活 中 我 们 遇 到 的 短信 密码 确认 方式 ， 属 于 (。””)。 
A. 动态 口令 牌 B. 电子 签名 C. 静态 密码 D. 动态 密码 
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. 简单 列举 现实 生活 中 运用 IC 卡 认证 技术 的 场合 ， 说 明 此 种 方式 的 优点 和 不 足 。 
. 简单 描述 基于 公 钥 密码 的 认证 体制 的 主要 原理 。 

. 访问 控制 主要 包括 哪儿 个 要 素 ? 它们 之 间 的 关系 是 什么 ? 

. 自主 访问 控制 可 以 分 成 哪 两 类 ? 该 机 制 存在 的 问题 是 什么 ? 

. 浅 谈 生物 特征 认证 技术 的 优 缺 点 。 
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随 着 计算 机 及 网 络 应 用 的 全 面 普及 ， 数 据 库 和 数据 库 技术 在 各 行 各 业 都 起 着 至 关 重 要 的 
作用 。 没 有 数据 库 的 安全 和 保护 ， 计 算 机 和 网 络 应 用 的 深度 和 广度 都 将 受到 很 大 的 影响 。 与 
系统 的 安全 性 相 比 ， 数 据 库 的 安全 性 往往 容易 被 忽视 ， 许 多 管理 员 错误 地 认为 上 只 要 把 网 络 和 
操作 系统 的 安全 搞 好 了 ， 所 有 的 应 用 程序 也 就 安全 了 。 事 实 上 ， 数 据 库 系 统 中 存在 的 安全 问 
题 同样 会 造成 严重 的 后 果 ， 研 究 数据 库 安全 问题 具有 重要 价值 。 


本 章 重点 

数据 库 系 统 的 三 种 安全 机 制 

存 取 控制 模型 的 分 类 、 概 念 

数据 完整 性 分 类 及 概念 

数据 库 系统 备份 模式 及 相关 的 恢复 手段 
SQL Server 数据 的 身份 验证 和 访问 控制 机 制 


7.1 数据 库 安全 概述 


7.1.1 数据 库 简介 


数据 库 (Database，DB) 是 指 长 期 保存 在 计算 机 的 存储 设备 上 ， 并 按照 某 种 模型 组 织 起 来 
的 ， 可 以 被 各 种 用 户 或 应 用 共享 的 数据 的 集合 。 数 据 库 管 理 系 统 (Database Management 
System，DBMS) 是 指 提供 各 种 数据 管理 服务 的 计算 机 软件 系统 。DBMS 提供 的 服务 包括 : 数 
据 对 象 定义 、 数 据 存储 与 备份 、 数 据 访 问 与 更 新 、 数 据 统计 与 分 析 、 数 据 安全 保护 、 数 据 库 
运行 管理 以 及 数据 库 的 建立 和 维护 等 .各 行 各 业 信 息 化 的 目的 就 是 要 以 现代 信息 技术 为 手段 ， 
对 企业 生产 和 经 营 过 程 产生 的 数据 进行 收集 、 加 工 、 管 理 和 利用 ， 以 改善 生产 经 营 的 整体 效 
率 ， 增 强 企 业 的 竞争 力 。 因 此 ， 数 据 库 是 各 行 各 业 信 息 化 不 可 缺少 的 工具 ， 是 绝 大 部 分 企业 
信息 系统 的 核心 。 

数据 库 技 术 从 20 世纪 60 年 代 中 期 产生 ， 其 发 展 速度 之 快 、 应 用 范围 之 广 令 人 惊叹 。 数 
据 库 技术 的 研究 和 发 展 已 成 为 现代 信息 化 社会 具有 强大 生命 力 的 一 个 重要 和 领域。 数据 库 技术 
已 经 取得 了 辉煌 的 成 就 ， 发 展 成 为 一 门 内 容 丰 富 的 学 科 ， 形 成 了 总 量 达 数 百 亿 美元 的 一 个 软 
件 产 业 。 根 据 Gartner Dataquest( 美 国 高 德 纳 ， 全 球 最 具 权 威 的 IT 研究 与 顾问 咨询 公司 之 一 ) 
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公司 的 调查 ，2005 年 国际 数据 库 市 场 销售 总 额 达 1600 亿美 元 。 数 据 库 已 经 发 展 成 为 一 个 规 
模 巨 大 、 增长 迅速 的 市 场 。 目前, 市 场 上 具有 代表 性 的 数据 库 产品 包括 Oracle 公司 的 Oracle、 
IBM 公司 的 DB2 以 及 微软 的 SQL Server 等 。 这 些 产 品 的 特征 很 大 程度 上 反映 了 当前 数据 库 
产业 界 的 最 高 水 平和 发 展 趋势 。 

目前 成 熟地 应 用 在 数据 库 系 统 中 的 数据 模型 有 : 层次 模型 、 网 状 模型 和 关系 模型 。 其 中 ， 
层次 模型 和 网 状 模型 是 非 关 系 模型 ， 层 次 模型 数据 库 系 统 和 网 状 模型 数据 库 系 统统 称 为 第 一 
代数 据 库 系统 ， 关 系 型 数据 库 管 理 系统 (Relational Database Management System，RDBMS) 称 
为 第 二 代数 据 库 系统 。20 世纪 70 年 代 至 80 年 代 初 ， 层次 模型 数据 库 系 统 和 网 状 模型 数据 库 
系统 很 流行 ， 现 在 逐步 被 关系 模型 取代 。 关 系数 据 库 技术 出 现在 20 世纪 70 年 代 ， 经 过 80 
年 代 的 发 展 到 90 年 代 已 经 比较 成 熟 ， 在 90 年 代 初 期 曾 一 度 受到 面向 对 象 数据 库 的 挑战 ， 但 
市 场 最 后 还 是 选择 了 关系 数据 库 。 到 目前 为 止 ， 数 据 库 技术 的 研究 与 应 用 绝 大 多 数 以 关系 数 
据 库 为 基础 ， 无 论 是 Oracle 公司 的 Oracle、IBM 公司 的 DB2， 还 是 微软 的 SQL Server 等 都 
是 关系 型 数据 库 。Gartner Dataquest 的 报告 显示 关系 数据 库 管 理 系统 的 市 场 份额 最 大 ，2005 
年 RDBMS 的 市 场 份额 增幅 达 9.4%。 当 前 ， 由 于 互联 网 应 用 的 兴起 ，XML 格式 的 数据 大 量 
出 现 ， 支 持 XML 模型 的 新 型 数据 库 成 为 需求 ， 但 是 关系 数据 库 技 术 仍然 是 主流 ， 无 论 是 多 
媒体 内 容 管 理 、XML 数据 支持 还 是 复杂 对 象 支持 等 ， 都 将 是 在 关系 数据 库 系 统 内 核 技术 基 
础 上 的 扩展 。 

典型 的 关系 数据 库 示 例如 图 7-1 所 示 。 图 中 有 Car、Color、MakeModel、Make 四 个 数据 
表 (Table)， 由 个 表 之 间 通 过 相关 字段 (Filed) 建 立 起 关系 ， 故 称 之 为 关系 数据 库 。 例 如 表 Car 
和 表 Color 之 间 通 过 ColorKey 字段 建立 关系 , 表 Car 和 表 MakeModel 之 间 通 过 ModelKey 字 


1 1 1 70 Red 
2 1 3 2005 2 Green 
2 1 2 2005 3 Blue 
有 有 pathfinder .EE 
1 2 Bluebird 2 lessen 
2 1 Civic = RS 


图 7-1 典型 的 关系 数据 库 模 型 


在 关系 数据 库 保 持 着 占据 数据 库 市 场 主流 地 位 的 同时 ， 当 前 数据 库 系 统 发 展 还 有 以 下 几 
个 特点 。 


1. 数据 库 产 品系 列 化 


一 方面 ，Web 和 数据 仓库 等 应 用 的 兴起 ， 数 据 的 绝对 量 在 以 惊人 的 速度 迅速 膨胀 。 另 一 
方面 ， 移 动 和 媒 入 式 应 用 快速 增长 ， 使 得 针对 市 场 的 不 同 需求 ， 数 据 库 正 在 朝 系 列 化 方向 发 
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展 。 例 如 ，IBM 公司 的 DB2 通用 数据 库 产 品 包括 了 从 高 端的 企业 级 并 行 数据 库 系统 ， 到 移 
动 端 产品 DB2 Everywhere 的 一 整套 系列 产品 。 从 支持 平台 看 ， 今 天 的 DB2 已 经 不 再 是 大 型 
机 上 的 专 有 产品 ， 它 支持 目前 主流 的 各 种 平台 ， 包 括 Linux 和 Windows。 此 外 ， 它 还 有 各 种 
中 间 件 产品 ， 如 DB2 Connect、DB2 Datajointer、DB2 Replication 等 ， 构 成 了 一 个 庞大 的 数据 
库 家 族 。 


2. 支持 各 种 互联 网 应 用 


数据 库 管理 系统 是 网 络 经 济 的 重要 基础 设施 之 一 。 支 持 Intermet 的 数据 库 应 用 已 经 成 为 
数据 库 系统 的 重要 特征 。 例 如 ，Oracle 公司 的 产品 从 其 8.0 版 起 全 面 支持 互联 网 应 用 ， 是 互 
联网 数据 库 的 典型 代表 。 微 软 公 司 更 是 将 SQL Server 作为 其 整个 NET 计划 中 的 一 个 重要 环 
节 。 对 于 互联 网 应 用 ， 由 于 用 户 数量 是 无 法 事先 预测 的 ， 这 就 要 求 数据 库 系统 比 以 前 拥有 处 
理 更 大 量 的 数据 ， 以 及 为 更 多 的 用 户 提供 服务 的 能 力 ， 也 就 是 要 拥有 良好 的 可 伸缩 性 及 高 可 
用 性 。 此 外 ， 互 联网 提供 大 量 以 XML 格式 数据 为 特征 的 半 结 构 化 数据 ， 支 持 这 种 类 型 的 数 
据 的 存储 、 共 享 、 管 理 、 检 索 等 也 是 各 数据 库 厂 商 的 发 展 方向 。 

3. 智能 化 、 集 成 化 


数据 库 技术 的 广泛 使 用 为 企业 和 组 织 收集 并 积累 了 大 量 的 数据 。 数 据 丰 富 、 知 识 贫 乏 的 
现实 直接 导致 了 联机 分 析 处 理 (On-Line Analytical Processing，OLAP)、 数 据 仓库 (Data 
Warehousing，DVW) 和 数据 挖掘 OData Mining，DMD 等 技术 的 出 现 ， 促 使 数据 库 向 智能 化 方向 
发 展 。 同 时 企业 应 用 越 来 越 复杂 ， 涉 及 应 用 服务 器 、Web 服务 器 、 其 他 数据 库 系 统 、 旧 系统 
中 的 应 用 以 及 第 三 方 软件 等 。 数 据 库 产 品 与 这 些 软件 是 否 具有 良好 集成 性 往往 关系 到 整个 系 
统 的 性 能 。Oracle 公司 的 Oracle 9i 产品 包括 了 OLAP、DM、ETLGExtract-Transform-Load， 
数据 抽取 、 转 换 、 装 载 ) 工 具 等 一 套 完整 的 商业 智能 支持 平台 。 并 且 中 间 件 产品 与 其 核心 数据 
库 具 有 紧密 集成 的 特性 ，Oracle Application Server 增加 的 一 项 关键 功能 是 高 速 缓存 特性 ， 该 
特性 可 以 将 数据 从 数据 库 迁 移 至 应 用 服务 器 ， 加 速 Web 用 户 对 数据 的 访问 速度 。IBM 公司 
也 把 商业 智能 套件 作为 其 数据 库 的 一 个 重点 来 发 展 ， 微 软 也 认为 商业 智能 将 是 其 下 一 代数 据 
库 产品 的 主要 利润 点 。 

7.1.2 数据 库 的 安全 特性 

数据 库 系 统 的 安全 机 制 主要 有 : 存 取 管 理 、 安 全 管理 和 数据 库 加 密 。 存 取 管 理 是 一 套 防 
止 未 授权 用 户 访问 数据 库 的 方法 、 机 制 ， 目 的 在 于 控制 数据 的 存 取 ， 并 防止 非 授权 用 户 对 数 
据 库 的 访问 。 安 全 管理 指 采 取 何 种 安全 机 制 实现 数据 库 操作 管理 权限 分 配 ， 通 常 分 为 集中 控 
制 、 分 散 控 制 两 种 方式 。 数 据 库 加 密 主 要 包括 : 库 内 加 密 (以 一 条 记录 或 记录 的 字段 值 为 操作 
单位 进行 加 密 )、 库 外 加 密 ( 以 包含 数据 库 结 构 和 内 容 的 整个 数据 库 为 操作 单位 进行 加 密 )、 硬 
件 加 密 。 

1. 存 取 管 理 技术 

存 取 管理 技术 包括 用 户 身 份 认 证 技术 和 存 取 控制 技术 两 方面 。 用户 身份 认证 技术 包括 用 


第 7 章 数据库 安全 。155 。 


户 身份 验证 和 用 户 身份 识别 技术 。 存 取 控 制 包括 数据 的 浏览 控制 和 修改 控制 。 浏 览 控 制 是 为 
了 保护 数据 的 保密 性 ， 而 修改 控制 是 为 了 保护 数据 的 正确 性 和 提高 数据 的 可 信 性 。 在 数据 资 
源 共 享 的 环境 中 ， 存 取 控 制 就 显得 非常 重要 。 

电子 商务 和 网 上 银行 的 迅速 发 展 ， 使 人 们 认识 到 数据 库 中 数据 的 价值 ， 同 时 也 意识 到 数 
据 库 系统 可 能 是 脆弱 的 ， 用 户 需 要 特别 的 认证 。 通 过 用 户 身 份 验证 ， 可 以 阻止 非 授权 用 户 的 
访问 ， 通 过 用 户 身份 识别 ， 可 以 防止 用 户 的 越权 访问 。 

存 取 控 制 限制 了 访问 者 和 程序 可 以 进行 的 操作 ， 通 过 存 取 控 制 可 以 防止 安全 漏洞 隐患。 
DBMS 中 对 数据 库 的 存 取 控制 是 建立 在 操作 系统 和 网 络 安全 机 制 基 础 之 上 的 。 一 般 来 说 ， 就 
存 取 控制 而 言 ， 低 安全 等 级 的 操作 系统 和 网 络 之 上 很 难 建立 高 安全 等 级 的 数据 库 系统 ， 而 高 
安全 等 级 的 操作 系统 和 网 络 之 上 建立 的 数据 库 安全 等 级 也 不 一 定 就 高 。 存 取 控 制 的 模型 有 自 
主 访问 控制 (Discretionary Access Control，DAC)、 强 制 访问 控制 (Mandatory Access Control， 
MAC) 和 基于 角色 的 访问 控制 (Role-Based Access Control，RBAC)。 


2. 安全 管理 


安全 管理 指 采取 何 种 安全 管理 机 制 实现 数据 库 管理 权限 分 配 。 安 全 管理 分 集中 控制 和 分 
散 控制 两 种 方式 。 集 中 控制 由 单个 授权 者 来 控制 系统 的 整个 安全 维护 ， 分 散 控制 则 采用 不 同 
的 管理 程序 控制 数据 库 的 不 同 部 分 来 实现 系统 的 安全 维护 。 集 中 控制 的 安全 管理 可 以 更 有 效 、 
更 方便 实现 安全 管理 。 安 全 管理 机 制 可 采用 数据 库 管 理 员 、 数 据 库 安全 员 、 数 据 库 审计 员 各 
负 其 责 、 相 互 制约 的 方式 ， 通 过 自主 存 取 控制 、 强 制 存 取 控制 实现 数据 库 的 安全 管理 。 数 据 
管理 员 必 须 专 门 负责 每 个 特定 数据 的 存 取 ,DBMS 必须 强制 执行 这 条 原则 ， 应 避免 多 人 或 多 
个 程序 建立 新 用 户 ， 确 保 每 个 用 户 或 程序 有 唯一 的 注册 账户 来 使 用 数据 库 。 安 全 管理 员 能 
单一 地 点 部 署 强大 的 控制 、 符合 特 定 标准 的 评估 ,以 及 大 量 的 用 户 账号 、 口令 安全 管理 任务 。 
数据 库 审 计 员 根据 日 志 审计 跟踪 用 户 的 行为 和 导致 数据 的 变化 ， 监 视 数据 访问 和 用 户 行为 是 
最 基本 的 管理 手段 ， 这 样 如 果 数 据 库 服务 出 现 问题 ， 可 以 进行 审计 追查 。 

3. 数据 库 加 密 


对 于 一 些 重要 部 门 或 敏感 领域 的 应 用 ， ee 安全 管理 是 难以 充分 保证 数据 的 
安全 性 的 ， 有 必要 对 数据 库 中 存储 的 重要 数据 进行 加 密 处 理 ， 以 强化 数据 存储 的 安全 保护 。 
数据 加 密 是 防止 数据 库 中 数据 泄露 的 有 效 手段 。 da 1 于 数 
据 保 存 的 时 间 要 长 得 多 ,对 加 密 强 度 的 要 求 也 更 高 。 此外， 由 于 数据 库 中 数据 是 多 用 户 共享 ， 
对 加 密 和 解密 的 时 间 要 求 也 更 高 ， 以 尽量 避免 对 系统 性 能 的 影响 。 


7.2 数据库 安全 威胁 


数据 库 是 商 和 公共 安全 领域 最 具有 战略 性 价值 的 资产 ， 通 常 都 保存 着 重要 的 商业 机 密 
乃至 国家 机 密 ， 这 些 信息 需要 被 保护 起 来 ， 以 防止 竞争 者 和 其 他 非法 用 户 获 取 。 很 多 企业 花 
费 很 多 人 力 、 物 a 但 来 自 授权 用 户 的 攻击 却 很 容易 被 忽视 。 
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根据 最 新 的 数据 库 安 全 报告 显示 , 主要 有 五 个 因素 可 能 引发 数据 库 安 全 问题 : 安全 教育 、 
密码 管理 、 共 享 账号 、 权 限 滥用 及 审计 缺陷 。 
1. 缺乏 安全 教育 


CompTIA(Computing Technology Industry Association, 美国 计算 机 行业 协会 ) 于 2009 年 对 
一 干 多 家 企业 在 不 同安 全 强化 方式 所 花费 的 时 间 进 行 调查 ， 结 果 显 示 ， 用 户 培训 被 排 在 第 九 
位 ( 共 十 位 )， 仅 次 于 日 志文 件 分 析 。CompTIA 第 2009 年 度 信息 安全 趋势 报告 表明 ， 接 受 调 
查 的 企业 中 有 85% 表 示 ， 对 非 IT 人 员 进 行 安全 培训 明显 改善 了 数据 泄漏 问题 。 针 对 数据 库 
系统 进行 的 安全 培训 ， 目 的 必须 是 确保 数据 库 管理 人 员 能 够 弄 清 楚 他 们 处 理 的 数据 的 重要 性 
和 价值 ， 这 样 他 们 对 待 工作 就 会 更 加 谨慎 ， 才 能 使 用 专业 的 方法 保障 数据 库 系统 安全 。 

2. 密码 管理 问题 


混乱 的 密码 管理 是 另 一 个 常见 问题 。 有 的 IT 部 门 允许 数据 库 管理 员 设 置 简单 好 记 的 密 
码 ， 有 的 强制 要 求 设 定 复杂 的 密码 ， 但 管理 员 却 把 密码 写 下 来 贴 在 显示 器 上 。 不 管 是 简单 的 
“ 弱 口 令 ”， 还 是 将 密码 写 下 来 放 到 公共 场所 的 方式 ， 都 使 得 数据 库 系统 接近 于 直接 暴露 在 
公共 网 络 中 ， 数 据 库 系统 的 数据 也 毫 无 保密 性 可 言 。 

3. 账号 共享 问题 

用 户 之 间 相 互 共享 账号 同样 会 带 来 安全 问题 。 有 些 用 户 会 借用 他 们 同事 的 登录 赁 证， 还 
有 些 人 会 通过 特殊 的 应 用 程序 来 间接 登录 数据 库 服 务 器 ， 以 获取 数据 访问 权限 ， 甚 至 有 可 能 
在 没有 留 下 任何 线索 的 情况 下 访问 数据 库 。 

4. 权限 滥用 问题 


对 数据 库 系 统 访问 权限 的 滥用 表现 在 两 个 方面 : 一 是 数据 库 管 理 员 权限 滥用 。 缺 少 针对 
数据 库 管 理 员 监控 机 制 ， 数 据 库 管 理 员 拥有 数据 库 系 统管 理 、 账 号 管理 、 权 限 分 配 等 数据 库 
系统 最 高 权限 。 如 果 数 据 库 管 理 员 利用 工作 之 便 ， 窃 取 、 自 改 、 毁 坏 重 要 业务 数据 ， 对 数据 
库 安全 的 影响 就 非常 大 。 国 内 某 著名 网 络 游戏 厂商 高 管 王 某 非法 修改 游戏 服务 器 数据 谋 利 就 
是 一 个 很 典型 的 例子 。 王 某 利 用 职务 便利 ， 非 法 修改 网 游 数据 库 服务 器 的 游戏 装备 数据 ， 然 
后 通过 网 站 私下 交易 出 售 给 其 他 玩家 ， 非 法 获 利 200 余 万 ， 给 单位 造成 难以 挽回 的 重大 经 济 
损失 。 二 是 合法 用 户 权 限 滥用 。 数 据 库 系 统 的 操作 管理 采用 分 权 管 理 形式 ， 包 括 多 个 账号 ， 
如 普通 账号 、 用 于 数据 库 日 常 维护 的 临时 账号 ， 如 果 上 述 账 号 权限 被 内 部 人 员 或 合作 方 人 员 
用 来 窃取 、 亚 意 损毁 数据 库 的 重要 业务 数据 , 在 短 时 间 内 管理 者 极 难 察觉 数据 被 算 改 或 删除 ， 
事后 也 难以 追查 取证 ， 造 成 难以 弥补 的 损失 。 

5. 审计 缺陷 


数据 库 自 身 日 志 审计 的 缺陷 主要 表现 是 难以 实时 监测 发 现 问题 。 数 据 库 系统 自身 的 日 志 
审计 功能 可 以 记录 各 种 数据 库 系统 修改 、 权限 使 用 等 日 志 信息 , 但 不 能 帮助 管理 者 及 时 发 现 、 
定位 问题 。 同 时 ， 由 于 不 能 实时 监测 报警 ， 因 此 在 数据 库 蜡 常安 全 事件 发 生 时 ， 无 法 第 一 时 
间 报 告 给 管理 者 ， 导 致 管理 者 不 能 及 时 采取 有 效 措施 。 此 外 ， 面 对 成 后 上 万 条 日 志 记录 ， 很 
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少 有 数据 库 管 理 员 为 了 寻找 几 条 有 用 的 项 目 ， 去 查看 海量 的 审计 日 志 条 目 ， 如 何 筛选 出 有 用 
信息 是 当前 数据 库 系 统 普遍 存在 的 问题 。 


7.3 ”数据 库 中 的 数据 保护 


7.3.1 数据 库 中 的 访问 控制 


数据 库 的 访问 控制 (Access Control) 是 通过 某 种 途径 允许 或 限制 用 户 访问 能 力 及 范围 的 一 
种 方法 。 访 问 控制 的 目的 是 使 用 户 只 能 进行 经 过 授权 的 相关 数据 库 操 作 。 

访问 控制 系统 一 般 包 括 主 体 、 客 体 和 安全 访问 政策 。 主 体 (Subjecb 发 出 访问 操作 、 存 取 
要 求 的 主动 方 , 通常 指 用 户 或 用 户 的 某 个 进程 。 客 体 (Objecb 指 被 调用 的 程序 或 欲 存 取 的 数据 。 
安全 访问 政策 指 用 以 确定 一 个 主体 是 否 对 客体 拥有 访问 能 力 的 一 套 规则 。 

数据 库 访问 控制 方式 分 为 : 自主 访问 控制 、 强 制 访问 控制 和 基于 角色 的 访问 控制 三 种 方式 。 


1. 自主 访问 控制 (Discretionary Access Control，DAC) 


DAC 是 基于 用 户 身份 或 所 属 工作 组 来 进行 访问 控制 的 一 种 手段 。 具 有 某 种 访问 特权 的 用 
户 可 以 把 该 种 访问 许可 传递 给 其 他 用 户 。DAC 允许 使 用 者 在 没有 系统 管理 员 参 与 的 情况 下 对 
他 们 所 控制 的 对 象 进行 权限 修改 ， 这 就 造成 信息 在 移动 过 程 中 其 访问 权限 关系 会 被 改变 。 例 
如 ， 用 户 A 可 将 其 对 目标 O 的 访问 权限 传递 给 用 户 B， 从 而 使 原来 对 O 没有 访问 权限 的 B 
可 以 访问 O。 

2. 强制 访问 控制 (Mandatory Access Control，MAC) 


MAC 对 于 不 同类 型 的 信息 采取 不 同 层次 的 安全 策略 。MAC 基于 被 访问 对 象 的 信任 度 进 
行 权 限 控制 ， 不 同 的 信任 度 对 应 不 同 的 访问 权限 。MAC 给 每 个 访问 主体 和 客体 分 级 ， 指 定 
其 信任 度 。MAC 通过 比较 主体 和 客体 的 信任 度 来 决定 一 个 主体 能 否 访问 某 个 客体 ， 具 体 遵 
循 以 下 两 条 规则 : 其 一 ， 仅 当主 体 的 信任 度 大 于 或 等 于 客体 的 信任 度 时 ， 主 体 才 能 对 客体 进 
行 读 操作 ， 即 所 谓 的 “向 下 读 取 规则 ”; 其 二 ， 仅 当主 体 的 信任 度 小 于 或 等 于 客体 的 信任 度 
时 ， 主 体 才能 对 客体 进行 写 操作 ， 即 所 谓 的 “向 上 写 入 规则 ”。 


3. 基于 角色 的 访问 控制 (Role-Based Access Control，RBAC) 


在 RBAC 中 ， 引 入 了 角色 (Role) 这 一 重要 概念 。 所 谓 角 色 ， 就 是 一 个 或 一 群 用 户 在 组 织 
内 可 执行 操作 的 集合 。 角 色 可 以 根据 组 织 中 不 同 的 工作 任务 创建 ， 然 后 根据 用 户 的 职责 分 配 
角色 ， 用 户 可 以 轻松 地 进行 角色 转换 。RBAC 根据 用 户 在 组 织 内 所 处 的 角色 进行 访问 授权 与 
控制 。 只 有 系统 管理 员 有 权 定 义 和 分 配角 色 。 用 户 与 客体 无 直接 联系 ， 只 有 通过 角色 才 享 有 
该 角色 所 对 应 的 权限 ， 从 而 访问 相应 的 客体 。RBAC 的 主要 优点 在 于 授权 管理 的 便利 性 ， 一 
且 一 个 RBAC 系统 建立 起 来 后 ， 主 要 的 管理 工作 即 为 分 配 或 取消 用 户 的 角色 。RBAC 的 另 一 
优点 在 于 系统 管理 员 在 比较 抽象 的 层次 上 控制 访问 权限 ， 与 企业 通常 的 业务 管理 类 似 。 
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Oracle、SQL Server 等 流行 数据 库 系统 均 采 用 基于 角色 的 访问 控制 方法 。 例 如 ，Oracle 
提供 了 三 种 标准 角色 : CONNECT、RESOURCE、DBA。CONNECT 是 Oracle 的 简单 权限 ， 
它 只 有 在 对 其 他 表 有 访问 权时 才 有 意义 。 拥有 CONNECT 角色 的 用 户 可 建立 表 、 视图 、 序号 、 
同义词 、 数 据 库 链 接 等 。 拥 有 RESOURCE 角色 的 用 户 可 建立 表 、 视 图 、 存 储 过 程 、 触 发 器 、 
函数 、 索 引 等 。 拥 有 DBA 角色 的 用 户 拥有 系统 所 有 的 权限 。 

在 实际 应 用 中 ， 通 常 采 用 下 列 访问 控制 方案 。 

e 根据 应 用 系统 特点 ， 建 立 儿 个 核心 用 户 ， 将 表 、 视 图 、 存 储 过 程 、 触 发 器 、 序 号 生 

成 器 等 数据 库 对 象 建立 在 相应 的 核心 用 户 中 。 

e 根据 系统 用 户 的 特点 ， 建 立 各 种 类 型 的 角色 ， 并 将 核心 用 户 中 的 数据 库 对 象 的 相应 

权限 及 一 些 系统 权限 授予 相应 角色 。 

e 建立 一 个 通用 用 户 默认 角色 , 该 角色 只 有 CONNECT 权限 , 将 该 角色 授予 任 一 角色 ， 

并 设置 成 默认 角色 。 在 与 数据 库 连接 后 ， 设 置 使 得 只 有 该 角色 和 其 他 应 用 需要 的 角 
色 有 效 ， 屏 蔽 其 他 角色 ， 以 防止 权限 过 大 的 角色 出 现 而 影响 数据 库 系统 安全 。 


7.3.2 ”数据 库 加 密 
数据 库 的 加 密 通 常 分 为 库 外 加 密 、 库 内 加 密 、 硬 件 加 密 三 种 方式 。 
1. 库 外 加 密 


因 文 件 型 数据 库 系统 是 基于 文件 系统 的 ， 故 库 外 加 密 就 针对 文件 IO 操作 或 操作 系统 而 
言 。 数 据 库 管 理 系统 与 操作 系统 的 接口 方式 有 三 种 : 一 是 直接 利用 文件 系统 的 功能 ， 二 是 利 
用 操作 系统 的 IO 模块 ; 三 是 直接 调用 存储 管理 。 所 以 在 采用 库 外 加 密 的 方法 时 ， 可 以 将 数 
据 先 在 内 存 中 使 用 DES、RSA、AES 等 方法 进行 加 密 ， 然 后 文件 系统 把 每 次 加 密 后 的 内 存 数 
据 写 入 到 数据 库 文件 中 去 (注意 是 把 整个 数据 库 当 作 普 通 的 文件 看 待 ， 而 不 是 按 数据 关系 写 
入 )， 读 入 时 再 逆 方 面 进行 解密 就 可 以 正常 使 用 了 。 这 种 加 密 方法 相对 简单 ， 只 要 妥善 管理 密 
钥 就 可 以 了 。 主 要 缺点 是 对 数据 库 的 读 写 都 比较 麻烦 ， 每 次 都 要 进行 加 解密 的 工作 ， 会 影响 

2. 库 内 加 密 


从 关系 数据 库 的 对 象 组 成 出 发 ， 可 考虑 库 内 加 密 的 思想 。 关 系 型 数据 库 的 关键 术语 有 ; 
表 、 记 录 、 字 段 ， 可 以 针对 这 几 方 面 形成 对 应 的 加 密 方法 。 通 常 ， 我 们 访问 数据 库 时 都 是 以 
二 维 表 方式 进行 的 ， 二 维 表 的 每 一 行 就 是 数据 库 的 一 条 记录 ， 二 维 表 的 每 一 列 就 是 数据 库 的 
一 个 字段 。 如 果 以 记录 为 单位 进行 加 密 ， 那 么 每 读 写 一 条 记录 只 需 进行 一 次 加 解密 的 操作 。 
但 是 由 于 每 一 个 记录 都 必须 有 一 个 密 铀 与 之 匹配 ， 因 此 产生 和 管理 各 条 记录 的 密 钥 会 比较 复 
杂 。 以 字段 为 单位 的 加 密 与 以 记录 为 单位 的 加 密 情况 相似 。 

3. 硬件 加 密 


相对 于 软件 加 密 ， 硬 件 加 密 是 指 在 物理 存储 器 与 数据 库 系 统 之 间 加 上 一 层 硬 件 作为 中 间 
层 ， 加 密 和 解密 的 工作 都 由 添加 的 硬件 完成 。 不 过 由 于 添加 的 硬件 与 原 计算 机 硬件 之 间 可 能 
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存在 兼容 问题 ， 此 外 ， 在 控制 数据 库 读 写 的 时 候 存 在 着 繁琐 的 机 制 ， 所 以 这 种 数据 库 加 密 广 
式 应 用 不 太 广泛 。 


7.3.3 ”数据 库 的 完整 性 保护 


数据 库 的 完整 性 是 指数 据 库 中 数据 的 正确 性 和 相 容 性 。 例 如 ， 某 包含 学 生 信息 的 数据 库 
中 :学 生 的 学 号 必须 唯一 ， 不 能 与 其 他 人 重复 ， 性 别 只 能 是 男 或 女 ， 本 科学 生年 龄 的 取 值 范 
围 为 14~30 的 整数 ， 学 生 所 在 的 系 必须 是 学 校 已 开设 的 系 。 

需要 注意 区 分 的 是 ， 数 据 库 的 完整 性 和 安全 性 是 数据 库 安全 保护 的 两 个 不 同方 面 。 数 据 
库 的 安全 性 用 于 保护 数据 库 ， 防 止 恶 意 的 破坏 和 非法 的 存 取 ;数据 库 的 完整 性 用 于 保护 数据 
库 ， 以 防止 合法 用 户 无 意 中 造 成 的 破坏 ， 即 防止 数据 库 中 存在 不 符合 语义 的 数据 ， 或 者 说 防 
止 数据 库 中 存在 不 正确 的 数据 。 换 言 之 ， 安 全 性 确保 用 户 只 能 做 被 允许 的 事情 ， 完 整 性 确保 
用 户 所 做 的 事情 是 正确 的 ， 从 数据 库 的 安全 保护 角度 来 讲 ， 完 整 性 和 安全 性 是 密切 相关 的 。 

为 维护 数据 库 的 完整 性 ， 数 据 库 管 理 系统 必须 具备 以 下 儿 个 功能 :提供 定义 完整 性 约 
束 条 件 的 机 制 ，@ 提 供 完整 性 检查 的 方法 ，@ 提 供 违约 处 理 手段 。 


1. 数据 完整 性 约束 的 分 类 


1) 域 完整 性 

对 表 字 段 取 值 进行 约束 ， 规定 一 个 给 定 域 的 有 效 入 口 , 包括 数据 类 型 、 取 值 范 围 、 格式、 
精度 等 的 规定 。 实 现 域 完整 性 可 以 通过 Check 约束 、Foreign 约束 、Default 约束 、Not Null 
约束 等 来 实施 。 

2) 实体 完整 性 

以 表 记 录 为 单位 进行 约束 ， 规 定 一 个 表 中 的 每 一 行 必须 是 唯一 的 。 数 据 库 设 计 者 需要 指 
定 一 个 表 中 的 一 列 或 一 组 列 作为 它 的 主键 ， 表 中 的 每 行 必须 含有 一 个 唯一 的 主键 。 主 键 不 能 
为 空 值 ， 且 不 能 与 表 中 已 有 行 的 主键 值 相同 。 可 以 通过 列 的 Identity 属性 、 主 键 约束 、 唯 一 
性 约束 等 来 实现 。 

3) 参照 完整 性 

在 关系 数据 库 中 ， 实 体 与 实体 之 间 的 关联 同样 采用 关系 模式 来 描述 ， 通 过 引用 对 应 实体 
的 关系 模式 的 主键 ， 来 表示 对 应 实体 之 间 的 关联 。 参 照 完 整 性 约束 又 称 为 引用 完整 性 约束 ， 
是 指 两 个 表 的 主键 和 外 键 的 数据 要 对 应 一 致 。 可 以 通过 “外 键 约 束 ”、“ 触 发 器 ”、“ 存 储 
过 程 ” 等 来 实施 。 

4) 用户 定义 完整 性 

以 上 三 种 数据 完整 性 约束 能 够 实现 数据 库 中 大 部 分 数据 完整 性 ， 但 某 些 约束 条 件 不 能 用 
它们 来 实现 。 例 如 ， 入 学 时 间 不 能 晚 于 毕业 时 间 。 实 现 诸如 此 类 的 数据 完整 性 保护 ， 需 要 开 
发 者 自己 通过 创建 存储 过 程 和 触发 器 、 规 则 等 来 实现 。 


2. 实施 完整 性 的 应 用 实例 


通过 “约束 ”可 实施 列 级 和 表 级 的 数据 完整 性 。 例 如 ，SQL Server 支持 的 “约束 ”有 如 
下 几 种: 非 空 约束 Not Null 约束 )、 主 键 约束 (Primary Key 约束 )、 唯 一 约束 (Unique 约束 )、 核 
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查 约束 (Check 约束 )、 外 键 约束 (Foreign Key 约束 )、 默 认 值 约 束 (Default 约束 )。“ 约 束 ” 的 定 
义 可 在 创建 表 或 更 改 表 时 进行 。 
【 例 1】 创建 表 时 定义 “约束 ”。 


CREATE TABLE STUDENT 
( 学 号 char(6) PRIMARY KEY, 

姓名 char(8) NOT NULL, 

性 别 ”char(2) CHECK( 性 别 =' 男 'OR 性 别 = 女 "), 
政治 面貌 char(O); 

) 


以 上 定义 的 全 为 列 级 数据 完整 性 ， 定义 如 下 : “学 号 ” 列 为 主键 ; “姓名 ” 列 为 非 空 值 ; 
“性 别 ” 列 通过 检验 CHECK( 性 别 =“ 男 ”OR 性 别 =“ 女 ”)， 以 保证 “性别” 字段 值 为 “ 男 
或 “ 女 '。 

【 例 2】 创建 表 时 定义 “约束 ”。 

CREATE TABLE SCORE 

(学 号 char(6)， 

课程 名 char(20)， 

成 绩 int, 

补考 成 绩 int, 

CONSTRAINT PK ID PRIMARY KEY( 学 号 ,课程 名 )， 
CONSTRAINT FK 33 FOREIGN KEY( 学 号 ) 
REFERENCES STUDENT( 学 号 )， 

CONSTRAINT FK 35 FOREIGN KEY( 课 程 名 ) 
REFERENCES COURSE( 课 程 名 ); 

) 

以 上 三 个 “约束 ”全 为 表 级 约束 。 约 束 CONSTRAINT PK ID PRIMARY KEY( 学 号 , 课 
程 名 ) 保 证 “学 号 课程 名 ” 非 空 且 唯 一 ;约束 CONSTRAINT FK 33 FOREIGN KEY( 学 号 ) 
REFERENCES STUDENT( 学 号 )、CONSTRAINT FK 35 FOREIGN KEY( 课 程 名 ) 
REFERENCES COURSE( 课 程 名 ) 保 证 该 表 中 的 “学 号 ”和 “课程 名 ”字段 值 只 能 取 STUDENT 
表 中 已 存在 的 “学 号 ” 值 和 COURSE 表 中 已 存在 的 “课程 名 ” 值 。 


7.4 备份 与 恢复 数据 库 


7.4.1 数据 库 备份 


数据 库 系 统 在 运行 过 程 中 ， 难 免 会 遇 到 诸如 人 为 操作 错误 、 硬 盘 损 坏 、 电 脑病 毒 、 意 外 
断 电 或 是 其 他 灾难 ， 这 些 都 会 影响 数据 库 的 正常 使 用 和 数据 的 正确 性 ， 甚 至 破坏 数据 库 ， 导 
致 部 分 数据 或 是 全 部 数据 的 丢失 。 因 此 ， 数 据 库 备份 的 目的 在 于 建立 元 余数 据 ， 也 就 是 备份 
数据 库 。 
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通常 数据 库 的 故障 可 分 为 4 类 。 
。 事务 内 部 故障 。 有 些 是 可 以 通过 事务 程序 处 理 的 ， 比 如 银行 转账 中 的 事务 一致 性 问 
题 。 但 还 有 一 些 是 不 能 由 事务 程序 处 理 的， 比如 运算 过 程 中 的 溢出 ， 并 发 控制 中 发 
生死 锁 等 。 
。 系统 故障 。 通 常 称 为 软 故障 ， 指 造成 系统 停止 运行 的 任何 事件 ， 比 如 系统 重启 ， 操 
作 系统 故障 ， 突 然 停电 等 。 
。 介质 故障 。 也 称 为 硬 故 障 ， 比 如 硬盘 损坏 ， 强 磁场 干扰 等 。 这 类 放 障 的 发 生 几率 较 
小 ， 但 是 破坏 最 大 。 
。 人 为 故障 。 人 为 故障 是 一 种 人 为 的 故障 或 破坏 方式 ， 比 如 病毒 感染 ， 用 户 操作 失误 
等 。 数 据 库 备份 技术 ， 应 针对 不 同 的 故障 类 型 设置 相应 机 制 ， 以 保障 数据 的 有 效 恢 
复 。 为 避免 数据 库 灾难 ， 必 须 采 取 容错 措施 ， 使 损失 隆 至 最 低 。 容 错 有 硬件 容错 、 
软件 容错 两 种 方式 。 
硬件 容错 是 采取 双 系统 方案 ， 即 同一 个 数据 库 系统 在 两 个 计算 机 系统 中 同时 运行 ， 数 据 
操作 在 两 个 系统 中 同步 ， 两 个 系统 有 一 定 的 空间 距离 ， 这 样 ， 只 有 两 个 系统 同时 损坏 才 会 导 
至 数据库 损 坏 。 
软件 容错 是 采取 备份 与 恢复 方案 ， 即 在 数据 库 正常 工作 时 ， 做 出 一 个 数据 库 结 构 与 数据 
的 完整 拷贝 ， 也 就 是 做 出 数据 库 的 备份 ， 以 便 数据 库 遭 到 破坏 时 能 够 恢复 数据 库 。 
1. 数据 库 备份 的 概念 
数据 库 备份 就 是 通过 特定 的 办 法 ， 将 数据 库 系统 相关 文件 复制 到 转 储 设备 的 过 程 ， 如 图 
72 所 示 。 其 中 ， 转 储 设备 是 指 用 于 放置 数据 库 副本 的 磁带 或 磁盘 等 存储 设备 。 选 择 数据 库 
备份 的 依据 是 ， 丢 失 数据 的 代价 与 确保 数据 不 丢失 的 代价 之 比 。 数 据 库 备份 方法 有 四 种 ， 完 
全 数据 库 备份 、 增 量 数据 库 备 份 、 事 务 日 志 备 份 、 数 据 库 文件 与 文件 组 备份。 


数据 库 转 峙 设备 


备份 


> 


图 7-2 数据 库 备 份 示意 图 


2. 数据 库 备 份 的 原理 


数据 库 备 份 的 原理 在 于 建立 数据 元 余 。 建 立 元 余数 据 的 方式 是 进行 数据 转 储 和 登记 日 志 
文件 。 数据 转 储 在 时 间 上 可 分 为 静态 转 储 、 动 态 转 储 , 在 空间 上 可 分 为 海量 转 储 和 增 量 转 储 。 

静态 转 储 就 是 在 转 储 期 间 不 允许 数据 库 进行 任何 存 取 和 修改 操作 。 动 态 转 储 在 转 储 期 间 
可 以 进行 存 取 和 修改 操作 ， 即 转 储 和 用 户 事务 可 以 并 发 进行 。 
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海量 转 储 是 指 每 次 转 储 全 部 的 数据 。 增 量 转 储 则 只 转 储 自 上 次 转 储 以 来 更 新 过 的 数据 。 

在 事务 处 理 过 程 中 ， 数 据 库 系统 把 事务 开始 、 事 务 结束 和 对 数据 库 的 插入 、 修 改 和 删除 
的 每 一 次 操作 写 入 日 志 。 一 旦 发 生 故 障 ， 恢 复 系统 利用 日 志文 件 撤销 事务 对 数据 库 的 改变 ， 
回 深 (Roll Back) 到 事务 的 初始 状态 。 或 者 当 数 据 库 文件 损坏 后 ， 可 重新 装 入 备份 文件 恢复 到 
数据 库 数 据 转 储 结束 时 刻 的 正确 状态 ， 再 利用 日 志文 件 把 已 完成 的 事务 进行 重 做 (Redo)。 


3. 数据 库 备份 前 的 准备 


[==4 


完善 的 数据 库 备 份 操 作 应 当做 好 充分 的 准备 工作 ， 包 括 以 下 内 容 。 


7.4.2 


确定 备份 频率 。 指 是 每 个 星期 备份 ， 还 是 每 月 备份 ， 或 者 每 天 备份 ， 甚 至 在 某 些 情 
况 下 ， 需 要 每 小 时 备份 。 

确定 备份 内 容 。 备 份 数据 库 需 要 占用 存储 空间 ， 会 带 来 成 本 的 增加 。 因 此 实际 操作 
中 ， 数 据 库 备份 可 选择 只 备份 最 核心 、 最 关键 的 数据 ， 以 实现 投资 汇报 的 合理 平衡 。 
确定 使 用 的 介质 。 不 同 的 备份 介质 ， 比 如 磁盘 阵列 或 者 磁带 机 等 ， 在 访问 性 能 、 访 
问 方便 性 、 读 写 性 能 等 方面 ， 都 有 着 不 同 的 特性 。 因 此 ， 应 根据 应 用 需求 、 资 金 状 
况 等 情况 ， 选 用 合适 的 备份 介质 。 

确定 备份 负责 人 人。 数据库 备份 是 一 件 长 期 不 间断 的 任务 ， 需 要 指明 具体 的 负责 人 专 
职 处 理 数据 库 备份 工作 。 

确定 联机 备份 或 脱 机 备份 。 根 据 应 用 需求 及 备份 介质 的 特点 ， 合 理 选 择 联机 或 脱 机 
备份 方式 。 

确定 是 否 使 用 硬件 备份 。 在 可 靠 性 要 求 非常 苛刻 的 应 用 环境 中 ， 仅 仅 用 软件 备份 还 
不 能 满足 需求 ， 可 能 还 需要 使 用 硬件 备份 。 

确定 备份 存储 地 点 。 条 件 允 许 的 情况 下 ， 应 尽 可 能 采用 异地 备份 的 方式 ， 将 重要 的 
备份 数据 存放 在 另外 的 场所 ， 从 而 进一步 提高 备份 数据 库 的 可 靠 性 。 

确定 备份 存储 的 期 限 。 备 份 数据 的 数据 量 会 随 着 日 积 月 累 迅 速 增长 ， 在 制定 备份 策 
略 之 初 ， 就 应 权衡 备份 数据 的 存储 期 限 。 根 据 应 用 的 具体 情况 ， 时 间 过 于 久远 的 、 
失去 价值 的 数据 ， 应 当 考 虑 自动 删除 ， 避 免 占 用 过 多 的 存储 空间 。 


数据 库 恢复 


数据 库 恢复 就 是 把 数据 库 由 存在 故障 的 状态 转变 为 无 故障 状态 的 过 程 。 根 据 出 现 故障 的 
原因 ,数据 库 恢复 分 为 实例 恢复 、 介质 恢 复 两 种 类 型 。 实例 恢 复 是 当 数 据 库 实例 出 现 失 效 后 ， 
数据 库 系 统 进行 的 恢复 。 介 质 恢复 是 当 存 放 数据 库 的 介质 出 现 故 障 时 所 做 的 恢复 。 

装载 Restore) 物 理 备份 与 恢复 RecovenD 物 理 备 份 是 介质 恢复 的 手段 。 装 载 物理 备份 是 将 
备份 拷 回 到 磁盘 ,恢复 物理 备份 是 利用 重 做 日 志 ( 即 Redo 日 志 , 物理 备份 的 一 部 分 ) 修 改 磁盘 
上 的 数据 文件 (物理 备份 的 另 一 部 分 )， 从 而 恢复 数据 库 的 过 程 ， 如 图 7-3 所 示 。 


第 7 章 ”数据 库 安全 


*。163。 


恢复 后 的 数据 库 


图 7-3 数据库 恢复 示意 图 


根据 数据 库 的 恢复 程度 ， 可 将 数据 库 恢 复方 法 分 为 两 种 类 型 :完全 恢复 、 不 完全 恢复 。 
e 完全 恢复 。 指 将 数据 库 恢复 到 失效 时 的 状态 。 这 种 恢复 是 通过 装载 数据 库 备 份 ， 再 


合并 所 有 的 Redo 日 志 实现 的 。 


e 不 完全 恢复 。 指 将 数据 库 恢复 到 数据 库 失 败 前 的 某 一 时 刻 数据 库 的 状态 。 这 种 恢复 
是 通过 装载 数据 库 备份 ， 再 合并 部 分 Redo 日 志 实 现 的 。 不 完全 恢复 是 在 完全 恢复 无 
法 实现 ， 或 不 需要 完全 恢复 时 进行 的 恢复 操作 。 导 致 完全 恢复 无 法 实现 的 典型 原因 


是 ， 部 分 Redo 日 志 损坏 ， 使 得 恢复 操作 无 法 继续 。 


例如 ， 在 上 午 10 点 钟 ， 由 于 磁盘 损坏 导致 数据 库 失 效 ， 从 而 中 止 使 用 。 现 在 使 用 两 种 
方法 进行 数据 库 的 恢复 ， 第 一 种 方法 使 数据 库 可 以 正常 使 用 ， 且 恢复 后 的 数据 与 损坏 时 刻 (10 
点 钟 ) 数 据 库 中 的 数据 完全 相同 , 这 种 恢复 方法 就 属于 完全 恢复 。 第 二 种 方法 能 使 数据 库 正常 
使 用 ， 但 只 能 使 恢复 后 的 数据 与 损坏 前 9 点 钟 时 刻 数 据 库 中 的 数据 相同 ， 无 法 恢复 数据 库 到 


失败 时 (10 点 钟 ) 数 据 库 的 状态 ， 这 种 恢复 方法 就 属于 不 完全 恢复 。 


7.S_SQL Server 数据 库 安 全 机 制 


7.5.1 SQL Server 安全 体系 结构 
SQL Server 提供 了 以 下 四 层 安 全 防护 。 


e 操作 系统 级 别 的 安全 防护 。Windows(Windows Server 2003 、Windows Server 2008 等 ) 


网 络 管理 员 负 责 建立 用 户 组 ， 设 置 账 号 并 注册 ， 同 时 决定 不 同 的 月 


日 户 对 不 同系 统 资 


源 的 访问 级 别 。 用 户 只 有 拥有 了 一 个 有 效 的 Windows 登录 账号 才能 对 网 络 系统 资源 


进行 访问 。 
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e@ SQL Server 级 别 的 安全 防护 。SQL Server 通过 登录 账号 设置 来 实现 附加 安全 层 。 用 


户 只 有 登录 成 功 ， 才 能 与 SQL Server 建立 数据 库 连 接 。 

SQL Server 数据 库 级 别 的 安全 防护 。SQL Server 的 所 有 数据 库 都 有 自己 的 用 户 和 角 
色 ， 该 数据 库 只 能 由 它 的 用 户 或 角色 访问 ， 其 他 用 户 无 权 访 问 其 数据 。 数 据 库 系 统 
可 以 通过 创建 和 管理 不 同 数据 库 的 用 户 和 角色 ， 来 保证 数据 库 不 被 非法 用 户 访问 。 
SQL Server 数据 库 对 象 级 别 的 安全 防护 。SQL Server 可 以 对 所 有 数据 库 对 象 的 访问 
权限 进行 管理 。SQL Server 完全 支持 SQL 标准 的 数据 控制 语言 (Data Control 
Language，DCL) 功 能 ， 并 通过 DCL 功能 保证 合法 用 户 即 使 进入 了 数据 库 也 不 能 有 超 
越权 限 的 数据 存 取 操作 ， 即 合法 用 户 必须 在 自己 的 权限 范围 内 进行 数据 操作 。 


从 SQL Server 2005 版 本 开始 ，SQL Server 数据 库 系统 增加 了 许多 与 安全 相关 的 特性 ， 


以 帮助 保护 用 户 的 数据 。SQL Server 2005 包含 密码 策略 实施 、 强 大 的 验证 功能 和 精细 的 层次 


权限 模型 。SQL Server 2005 还 含有 一 个 内 置 数据 加 密 功 能 ， 以 及 内 置 的 加 密 函 数 、 应 月 


编程 接口 (APD， 使 用 户 可 以 更 容易 地 建立 加 密 安 全 框架 。 


程序 


密 钥 管理 是 加 密 安全 框架 中 最 重要 的 环节 。SQL Server 2005 支持 三 种 加 密 类 型 。 每 种 类 


型 使 用 一 种 不 同 的 密 钥 ， 并 且 具 有 多 个 加 密 算法 和 密 钥 强度 。 


e 对 称 加 密 。SQL Server 2005 支持 RC4、RC2、DES 和 AES 系列 加 密 算法 。 对 称 密 角 


是 既 可 用 于 加 密 也 可 用 于 解密 的 单个 密 钥 。 使 用 对 称 加 密 可 以 快速 执行 加 密 和 解密 
操作 。 因此 , 对称 加 密 非常 适合 SQL Server 2005 中 大 量 数据 的 加 密 。SQL Server 2005 
中 ， 开 发 人 员 可 以 使 用 一 种 或 多 种 方法 将 对 称 密 钥 进行 加 密 处 理 : 用 户 提供 的 密码 、 
男 一 个 对 称 密 钥 、 证 书 的 公 钥 、 非 对 称 密 钥 。 

非 对 称 加 密 。 非 对 称 密 钥 由 一 个 私 钥 及 相应 的 公 钥 组 成 。 这 两 个 密 钥 中 的 每 个 密 钥 
都 可 以 解密 用 另 一 个 密 钥 加 密 的 数据 。 通 常情 况 下 ， 开 发 人 员 使 用 非 对 称 加 密 方法 
加 密 用 于 数据 库存 储 的 对 称 密 钥 。 在 SQL Server 2005 中 ， 非 对 称 密 钥 是 公 钥 和 私 
钥 对 。 公 钥 不 像 证 书 具 有 特定 的 格式 , 因此 开发 人 员 不 能 将 其 导出 至 文件 .SQL Server 
2005 支持 RSA 加 密 算法 以 及 512 位 、1024 位 和 2048 位 的 密 钥 强度 。 

证 书 。 使 用 证 书 是 非 对 称 加 密 的 另 一 种 形式 。 证 书 是 一 个 数字 签名 的 安全 对 象 ， 它 
将 公 钥 值 绑 定 到 持 有 相应 私 钥 的 用 户 、 设 备 或 服务 。 认 证 机 构 (CA) 颁发 和 签署 证 
书 。 用 户 可 以 使 用 证 书 并 通过 数字 签名 将 一 组 公 钥 和 私 钥 与 其 拥有 者 相关 联 。SQL 
Server 2005 支持 IETF X.509 v3 规范 。 用 户 可 以 针对 SQL Server 2005 使 用 外 部 生成 
的 证 书 ， 或 者 可 以 使 用 SQL Server 2005 生成 证 书 。 通 常情 况 下 ， 开 发 人 员 使 用 证 书 
加 密 数 据 库 中 其 他 类 型 的 密 钥 。 


SQL Server 2005 采用 的 密 钥 层次 结构 框架 如 图 7-4 所 示 。 与 数据 加 密 解 密 有 关 的 详细 内 


容 请 参考 本 书 第 5 章 “ 密 码 学 基础 ”。 
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十 Windows 级 别 
国 SQL Server 级 别 


数据 库 级 别 


图 7-4 SQL Server 2005 采用 的 密 钥 层次 结构 框架 图 


7.5.2 ”SQL Server 身份 认证 


身份 认证 是 指数 据 库 系统 对 用 户 访问 数据 库 时 所 输入 的 用 户 名 、 口 令 进行 确认 的 过 程 。 
身份 认证 的 内 容 包括 确认 用 户 的 账号 是 否 有 效 、 能 否 访问 系统 、 能 访问 系统 中 的 哪些 数据 等 。 
SQL Server 有 三 种 身份 认证 模式 ， 即 Windows 身份 认证 模式 、SQL Server 身份 认证 模式 、 混 
合 模式 。 
e@ Windows 身份 认证 模式 。Windows 身份 认证 模式 是 指 SQL Server 服务 器 通过 使 用 
Windows 当前 登录 用 户 的 权限 来 控制 用 户 对 SQL Server 服务 器 的 登录 及 访问 权限 。 
它 允 许 一 个 网 络 用 户 登 录 到 一 个 SQL Server 服务 器 后 ， 不 必 再 提供 一 个 单独 的 登录 
用 户 名 及 口令 ， 从 而 实现 SQL Server 服务 器 与 Windows 登录 的 安全 集成 。 因 此 ， 这 
种 模式 也 称 为 集成 身份 认证 模式 。 
e@ SQL Server 身份 认证 模式 。SQL Server 身份 认证 模式 要 求 用 户 必须 输入 有 效 的 SQL 
Server 登录 用 户 名 、 口 令 。 这 个 登录 账号 独立 于 操作 系统 的 用 户 账号 ， 从 而 可 以 在 一 
定 程度 上 避免 操作 系统 层次 上 对 数据 库 的 非法 访问 。 
e 混合 模式 。 这 种 模式 下 ， 如 果 用 户 在 登录 时 提供 了 SQL Server 的 登录 用 户 名 口令 ， 
则 系统 将 使 用 SQL Server 身份 验证 对 其 进行 验证 。 如 果 没 有 提供 SQL Server 登录 账 
号 或 请 求 进行 Windows 身份 验证 ， 则 使 用 Windows 身份 验证 对 其 进行 验证 。 
具体 采用 哪 种 身份 认证 模式 ， 在 安装 SQL Server 的 时 候 可 根据 安装 程序 界面 中 的 选项 ， 
进行 相应 选择 。 已 经 安装 的 SQL Server， 可 使 用 如 下 方法 设置 身份 认证 模式 。 
首先 , 在 SQL Server 企业 管理 器 中 , 打开 SQL 服务 器 组 , 右 击 需要 设置 的 SQL 服务 器 ， 
在 弹出 的 快捷 菜单 中 选择 “编辑 SQL Server 注册 属性 ”然后 , 在 弹出 的 “已 注册 的 SQL Server 
属性 ”对 话 框 中 ， 打 开 “ 安 全 性 ”选项 卡 ， 根 据 图 7-5 所 示 进 行 设置 即 可 。 
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服务 器 设置 | 数据 库 设置 | 复制 
常规 | “内存 | ”处 理 器 安全 性 | 连接 

三 安全 性 
SQL Server 根 据 Windows 帐户 和 已 命名 的 SQL Server 登 
录 ID 及 密码 进行 身份 验证 。 
身份 验证 : 
SUL Sever 和 WindowslSj 
个 仅 Windows[Ww] 
审核 级 别 : 
© 无 是 个 失败 [FE 
个 成功 凯 个 全 部 山 
启动 服务 帐户 
副 在 下 面 的 帐户 中 启动 并 运行 SQL Server 
人 系统 帐户 久 ] 
个 本 帐户 加) 
Wy | 而 


图 7-5 设置 SQL Server 身份 认证 模式 


7.5.3 ”SQL Server 访问 控制 


保障 数据 库 安全 的 主要 目标 ， 是 通过 各 种 安全 机 制 实现 数据 库 的 保密 性 、 完 整 性 和 可 用 
性 ， 并 确保 只 有 授权 用 户 才能 在 权限 范围 内 进行 操作 。 访 问 控制 技术 是 应 用 最 广泛 、 最 有 效 
的 安全 机 制 。 访 问 控制 策略 一 般 有 三 种 :自主 型 访问 控制 DAC)、 强 制 型 访问 控制 M AC) 
和 基于 角色 的 访问 控制 RBAC)。DAC 控制 能 力 比较 弱 ，MAC 控制 能 力 过 强 ， 且 这 两 种 方式 
都 不 便于 管理 。 而 RBAC 可 有 效 克 服 前 两 种 访问 控制 方式 的 不 足 ， 降 低 授 权 管理 的 复杂 性 ， 
提高 授权 的 灵活 性 。SQL Server 的 访问 控制 机 制 采用 的 正 是 RBAC 方式 。 

基于 角色 的 访问 控制 (Role-Based Access Control，RBAC) 是 近年 来 在 信息 安全 领域 访问 


术 在 20 世纪 90 年 代 迅 速 发 展 起 来 ，RBAC 通过 引入 角色 的 概念 来 实施 访问 控制 策略 。 不 同 
的 角色 和 它 所 应 具有 的 权限 许可 互相 联系 ， 用 户 作为 某 些 角色 的 成 员 ， 获 得 角色 所 拥有 的 权 
限 。 角 色 可 以 根据 实际 的 单位 、 组 织 的 不 同 工 作 职能 和 权限 来 划分 ， 依 据 用 户 所 承担 的 不 同 
权利 和 义务 来 对 相应 角色 进行 授权 ， 对 于 一 个 存在 大 量 用 户 和 权限 管理 工作 的 系统 来 说 ， 从 
用 户 到 角色 的 管理 ， 简 化 了 权限 分 配 的 复杂 性 ， 提 高 了 安全 管理 的 效率 和 质量 。 

美国 国家 标准 与 技术 研究 院 (National Institute of Standards and Technology，NIST) 颁 布 的 
标准 RBAC 模 型 由 4 个 部 件 模型 组 成 ,这 4 个 部 件 模型 分 别 是 : 基本 模型 RBAC0(CoreRBAC)、 
9 色 分 级 模型 RBAC1(Hierarchal RBAC)、 角 色 限 制 模型 RBAC2(Constraint RBAC) 和 统一 模 
型 RBAC3(Combines RBAC)。RBACO0 模型 如 图 7-6 所 示 。 
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用 户 角 色 分 配 角色 许可 分 配 
(Ua) (PA) s 控制 
操作 对 象 
与 用 户 相 疏 联系 的 session 诈 可 (PERID 
会 话 集合 激活 的 角色 


图 7-6 RBAC0 示意 图 


RBACO0 定义 了 能 构成 一 个 RBAC 控制 系统 的 最 小 元 素 的 集合 。RBAC 的 核心 概念 包括 
5 个 基本 的 静态 集合 : 用 户 集 (Users)、 角 色 集 (Roles)、 操 作 集 (Operations, OPS)、 对 象 集 (Objects， 
OBS)、 权 限 集 (Permissions，PRMS) 和 一 个 运行 过 程 中 动态 维护 的 会 话 集 (Sessions)。 这 些 集 
合 称 为 RBAC 的 组 件 。 组 件 及 其 之 间 关 系 的 描述 如 图 7-6 所 示 。 

在 RBAC 中 ,权限 被 赋予 角色 ， 而 不 是 用 户 。 当 一 个 角色 被 指定 给 一 个 用 户 时 ， 此 用 户 
就 拥有 了 该 角色 所 包含 的 权限 。 会 话 (Session) 是 用 户 与 激活 的 角色 集合 之 间 的 映射 。RBACO0 
与 传统 访问 控制 的 差别 在 于 , 通过 增加 了 一 层 间 接 性 带 来 了 灵活 性 , RBAC1、RBAC2、RBAC3 
都 是 先后 在 RBAC0 上 的 扩展 。 角 色 是 一 个 强大 的 工具 ， 通 过 角色 可 以 将 用 户 集中 到 一 个 单 
元 中 ， 然 后 对 该 单元 分 配 权限 。 对 一 个 角色 授予 、 拒 绝 或 废除 的 权限 同时 适用 于 该 角色 的 任 
何 成 员 。 可 以 建立 一 个 角色 来 代表 单位 中 一 类 工作 人 员 所 执行 的 工作 ， 然 后 给 这 个 角色 授予 
适当 的 权限 。 当 工作 人 员 开 始 工作 时 ， 只 需要 将 他 们 添加 为 该 角色 成 员 ; 当 他 们 离开 工作 时 ， 
将 他 们 从 该 角色 中 删除 。 而 不 必 在 每 个 人 接受 或 离开 工作 时 ,反复 授予 、 拒 绝 和 废除 其 权限 。 
权限 在 用 户 成 为 角色 成 员 时 自动 生效 。 

如 果 根 据 工作 职能 定义 了 一 系列 角色 ， 并 给 每 个 角色 指派 了 适合 这 项 工作 的 权限 ， 则 很 
容易 在 数据 库 中 管理 这 些 权 限 。 之 后 ， 不 用 管理 各 个 用 户 的 权限 ， 而 只 须 在 角色 之 间 移 动用 
户 即 可 。 如 果 工 作 职 能 发 生 改变 ， 则 只 须 更 改 一 次 角色 的 权限 ， 并 使 更 改 自动 应 用 于 角色 的 
所 有 成 员 ， 操 作 简 洁 而 灵活 。 

SQL Server 提供 了 一 些 预 先 定义 的 用 户 角色 ， 它 们 具有 一 些 特定 的 管理 权限 。 还 可 为 特 
定 环 境 需求 创建 定制 的 角色 ， 然 后 在 数据 库 上 分 配 权限 给 这 些 角 色 ， 然 后 根据 人 们 工作 职责 
的 变化 从 这 些 角 色 中 添加 和 删除 相应 的 各 个 用 户 。SQL Server 内 置 的 五 种 角色 及 其 权限 、 功 
能 如 下 。 

e 结构 设计 师 。 定 义 系统 的 端 对 端 技术 和 基础 结构 设计 ， 并 定义 项 目的 前 景 、 范 围 和 

互 操作 性 。 

e 管理 员 。 运 行 系统 的 日 常 操作 。 有 具体 而 言 ， 包 含 系统 可 用 性 、 性 能 监视 和 优化 、 部 
署 、 升 级 、 故 障 排除 和 配置 等 各 个 方面 。 

e 分 析 人 员 。 创 建 供 个 人 使 用 、 也 可 能 供 单位 中 其 他 人 使 用 的 报表 和 数据 模型 。 分 析 
人 员 可 以 是 数据 处 理 专业 人 员 ， 但 更 多 的 时 候 负 责 分 析 在 完成 相关 工作 过 程 中 获得 
的 企业 数据 。 

e 开发 人 员 。 设 计 、 实 现 并 测试 网 页 、 报 表 或 应 用 程序 ， 以 实现 由 结构 设计 人 员 设计 
的 整体 系统 的 特定 部 分 。 特 别 是 ， 数 据 库 开 发 人 员 设 计 、 实 现 和 测试 数据 库 中 的 架 
构 和 对 象 (如 表 和 存储 过 程 )。 
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e 信息 工作 者 。 将 系统 中 的 可 用 数据 转换 为 商业 信息 。 
7.5.4 SQL Server 访问 审计 


数据 库 安 全 审计 系统 是 通过 对 网 络 数据 的 采集 、 分 析 、 识 别 ， 实 时 监控 网 络 中 数据 库 的 
所 有 访问 操作 ， 发 现 各 种 违规 数据 库 操作 行为 ， 及 时 报警 ， 实 现 数据 库 安全 事件 的 准确 跟踪 
定位 ， 保 障 数据 库 系 统 安全 。 根 据 美国 国防 部 TCSEC/TDI 标准 中 关于 安全 策略 的 要 求 ， 数 
据 库 审计 是 数据 库 系统 达到 C2 级 以 上 安全 级 别 必 不 可 少 的 一 项 功能 。 

数据 库 安 全 审计 系统 首先 收集 来 自用 户 的 事件 ， 当 用 户 进行 数据 库 访问 操作 时 ， 采 集 器 
根据 审计 数据 字典 ， 判 断 其 数据 库 访问 行为 是 否 为 审计 事件 ， 当 数据 库 访问 事件 满足 审计 报 
警 记录 条 件 时 ， 分 析 器 则 向 管理 人 员 发 送 报警 信息 并 把 用 户 对 数据 库 的 所 有 操作 自动 记录 下 
来 ， 存 放 在 审计 日 志 中 。 

审计 日 志 记录 的 内 容 一 般 包 括 : 用 户 名 、 操 作 时 间 、 操 作 类 型 (如 修改 、 查 询 、 删 除 )， 
以 及 操作 所 涉及 相关 数据 (如 表 、 视 图 等 ) 等 。 利 用 这 些 信 息 ， 可 以 进一步 找 出 非法 存 取 修 改 
数据 库 的 人 员 及 其 修改 时 间 、 修 改 内 容 等 。 同 时 管理 人 员 也 可 以 通过 手工 查询 分 析 审 计 信息 ， 
并 形成 数据 库 审计 报告 。 审 计 报 告 通常 包括 用 户 名 、 时 间 、 具 体 数 据 库 操作 (包括 采用 什么 命 
令 访问 哪些 数据 库 表 、 字 段 ) 等 。 

当 发 现 某 些 数据 库 访问 操作 具有 潜在 危害 性 ， 而 数据 库 审计 系统 的 规则 库 内 未 制定 相应 
审计 规则 ， 则 管理 人 员 可 以 在 审计 规则 库 中 更 新 审计 规则 。 在 数据 库 安全 审计 模型 中 ， 数 据 
库 审计 日 志 信 息 起 着 非常 关键 的 作用 ， 它 记录 了 各 种 类 型 的 数据 库 访 问 事件 ， 为 管理 人 员 提 
供 了 事后 查询 的 依据 ， 同 时 可 以 帮助 管理 人 员 实时 掌握 数据 库 操 作 事件 的 动态 信息 。 

数据 库 安 全 审计 系统 的 实现 有 两 种 方式 : 第 一 种 是 依靠 数据 库 系 统 自 身 具 备 的 审计 功 
能 ， 第 二 种 是 使 用 独立 的 数据 库 审计 系统 。 第 二 种 方式 的 部 署 结 构 如 图 7-7 所 示 。 通 常 ， 采 
用 独立 的 数据 库 审计 系统 效果 更 好 ， 且 对 数据 库 系 统 的 运行 效率 等 影响 较 小 ， 但 独立 的 数据 
库 审 计 系统 价格 都 比较 昂贵 。 在 经 费 等 条 件 不 允许 的 情况 下 ， 可 采用 数据 库 系 统 自 身 具 备 的 
审计 功能 来 实现 数据 库 审 计 。 


数据 库 系统 。 业务 主机 


审计 系统 
图 7-7 数据 库 审计 系统 部 署 结构 
SQL Server 2000 中 有 一 个 “事件 探查 器 ”工具 ， 它 从 服务 器 捕获 SQL Server 2000 事件 。 
事件 保存 在 一 个 跟踪 文件 中 ， 可 对 该 文件 进行 分 析 ， 也 可 在 试图 诊断 某 个 问题 时 ， 用 它 来 重 
播 某 一 系列 的 数据 库 操作 。 基 于 这 个 跟踪 文件 ， 可 进行 数据 库 系统 的 审计 数据 采集 ， 并 对 这 
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些 审计 数据 进行 分 析 ， 判 断 是 否 发 生 入 侵 如 果 发 生 入 侵 ， 则 把 信息 保存 下 来 以 便 系 统管 理 员 
进行 分 析 。 从 而 实现 利用 SQL Server 2000 的 跟踪 (Trace) 技 术 ， 全 面 监视 SQL Server 2000 服 
务 器 的 性 能 和 活动 。 它 可 以 帮助 管理 员 了 解数 据 库 服务 器 上 的 事件 和 情况 。 

当 事 件 探查 器 正在 运行 时 ， 它 能 捕获 正在 向 SQL Server 实际 发 送 的 命令 。 例 如 ， 如 果 某 
客户 向 SQL Server 发 送 了 只 由 一 个 存储 过 程 调用 组 成 的 批 处 理 命令 , 就 能 够 捕获 和 记录 每 个 
存储 过 程 中 的 所 有 语句 ， 它 还 能 跟踪 表 的 每 一 次 访问 、 每 一 次 加 锁 操作 、 每 一 次 发 生 的 错误 ， 
如 图 7-8 所 示 。 


可 sgL 事件 探查 器 - [无 标题 - 1 (192. 168.1.111)] 
闻 交 件 EE) 编辑 人 ) 视图 (W) 重播 入) 工具 (I) 窗口 W) 帮助 0 


屯 前 蕊 了 锋 师 思 |，W | 名 下 罩 | 辐 | 迎 澳 暂 | 多 


TraceStart 
SQL:BatchCompleted 


select top 7 * from Union_news wher， 


SQL:BatchCompleted select top 5 * from Union news wher... 58 
SQL: BatchCompleted select top 4 * from Union news wher... 56 
SQL: BatchCompleted select top 了 * from Union news wher... 56 
SQL:BatchEompleted select top 7 * from Union_news wher... 58 
SQL: BatchCompleted select top 5 * from Union news wher... 56 
SAL: BatchCompleted select top 4 * from Union news wher... 56 


图 7-8 SQL Server 事件 探查 器 


利用 SQL Server 2000 的 事件 探查 器 实现 的 数据 库 审计 功能 相对 比较 弱 ,SQL Server 2008 
的 数据 库 审 计 功能 有 了 显著 增强 。 在 SQL Server 2008 里 实现 数据 库 审计 的 步骤 如 下 。 

(1) 给 每 个 SQL Server 2008 实例 创建 一 个 SQL Server 审计 。 

(2) 创建 服务 器 审计 规范 、 数 据 库 审计 规范 。 

(3) 激活 SQL Server 审计 。 

(4) 查看 审计 数据 。 具 体操 作 及 相关 文档 见 微软 网 站 http://msdn.microsoft.cony en-us/library/ 
cc280526%28SQL.100%29.aspx 的 文档 。 


本 章 小 结 


本 章 介 绍 了 数据 库 系 统 的 基本 概念 ， 数 据 库 系 统 在 迅速 发 展 的 信息 技术 领域 的 重要 作用 
及 面临 的 威胁 。 在 阐述 数据 库 系 统 的 儿 种 主要 保护 机 制 后 ， 介 绍 了 基本 的 数据 库 备份 、 恢 复 
的 概念 ， 最 后 以 当前 主流 关系 数据 库 之 一 的 SQL Server 为 例 ， 介绍 典型 的 数据 库 系 统 的 安全 
体系 、 认 证 机 制 、 访 问 控制 机 制 和 数据 库 审计 的 概念 、 方 法 。 


课 后 练习 


一 、 填空 题 


1. 数据 库 系 统 的 安全 机 制 主要 有 ( )、 安 全 管理 和 数据 库 加 密 。 
2. 存 取 控制 模型 有 自主 存 取 控制 DAC)， 其 缩写 来 自 于 英文 ( )、 强 制 存 取 控 
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制 (MAC)， 其 缩写 来 自 于 英文 ( ) 和 基于 角色 的 访问 控制 RBAC)， 其 缩写 来 自 于 英 
文 ( Ye 

3. 数据 完整 性 约束 分 为 域 完整 性 、( )、( )、 用 户 定义 完整 性 。 

4. SQL Server 的 三 种 身份 认证 模式 ， 即 Windows 身份 认证 模式 、( ) 身 份 认证 
模式 、( ) 模 式 。 

5. Oracle 采用 基于 角色 的 访问 控制 方法 ， 内 置 了 ( )、RESOURCE、DBA 三 种 
标准 角色 。 


二 、 选择 题 
1. 目前 市 场 占有 率 最 高 的 数据 库 模 型 是 ( )。 


A. 层次 模型 B. 关系 模型 C. 网 状 模型 D. 以 上 都 不 是 
2. Oracle 数据 库 系 统 采用 的 访问 控制 方式 为 (  )。 

A.DAC B. MAC C.RBAC D. 以 上 都 不 是 
3. 某 SQL 语句 “CREATE TABLE SCORE ”的 作用 是 ( )。 

A. 创建 数据 库 B. 创建 表 C. 添加 表 记 录 。”D. 创建 表 字 段 
4. 数据 库 不 完全 恢复 操作 ， 则 需要 ( 。” )。 

A. 系统 日 志 B. 事件 日 志 C. 操作 日 志 D. Redo 日 志 
5. 每 次 转 储 全 部 的 数据 ， 称 为 (。”)。 

A. 海量 转 储 B. 增 量 转 储 C. 同步 转 储 D. 异步 转 储 
三 、 简 答题 


1. 简 述 “关系 数据 库 系 统 ” 中 “关系 ”的 含义 。 

2. 数据 库 系 统 的 安全 机 制 主 要 有 哪 三 种 ? 简 述 其 基本 概念 。 

3. 数据 库 自 主 访问 控制 、 强 制 访 问 控 制 和 基于 角色 的 访问 控制 的 各 自 特 征 是 什么 ? 
4. 数据 完整 性 约束 分 为 哪 几 种 类 型 ? 

5. 简 述 SQL Server 的 三 种 身份 认证 模式 分 别 适用 的 场合 。 


随 着 网 络 的 广泛 普及 和 应 用 ， 网 络 环境 下 多 样 化 的 传播 途径 和 复杂 的 应 用 环境 给 恶意 软 
件 QMalware) 的 传播 带 来 巨大 便利 , 从 而 对 网 络 系统 及 网 络 上 主机 、 设备 的 安全 构成 巨大 威胁 。 

网 络 已 深入 到 我 们 工作 、 生 活 的 每 一 个 细 枝 末节 。 科 学 计算 、 办 公 等 各 行 各 业 的 正常 运 
转 离 不 开 网 络 ， 休 闲 、 娱 乐 的 方方面面 也 越 来 越 趋 于 网 络 化 。 计 算 机 的 小 型 化 和 嵌入 式 系统 
的 迅猛 发 展 ， 使 得 我 们 可 以 通过 手机 、 个 人 数字 助理 (Personal Digital Assistant，PDA)， 疙 至 
MP3、MP4 甚至 游戏 机 等 小 型 设备 ， 也 可 随时 随地 连 入 Intermet。 

网 络 的 发 展 、 普 及 速度 超出 了 人 们 的 预料 ， 在 人 们 受益 于 网 络 的 同时 ， 网 络 的 负面 效应 
日 益 显 现 。 在 20 世纪 90 年 代 ， 病 毒 主要 依靠 软盘 、 光 盘 等 存储 介质 在 不 同 用 户 间 使 用 时 来 
传播 。 当 前 的 病毒 则 不 同 ， 即 使 足 不 出 户 ， 所 使 用 的 计算 机 也 很 容易 在 不 知 不 觉 中 就 被 病毒 
入 侵 。 

通常 所 说 的 病毒 ， 按 照 严格 的 定义 ， 应 称 之 为 “恶意 软件 ”， 首 先 我 们 需要 明确 恶意 软 
件 的 相关 基本 概念 。 

本 章 重 点 
意 软件 的 概念 及 辨析 
恶意 软件 的 分 类 及 各 类 恶意 软件 的 主要 特征 
恶意 软件 运行 的 主要 症状 、 检 测 手段 
意 软件 的 基本 防范 方法 


IE 
7 


区 
恶 
下 
下 


e@ 小 


8.1 恶意 软件 的 概念 


恶意 软件 是 非 用 户 期 望 运行 的 、 怀 有 恶意 目的 或 完成 恶意 功能 的 软件 的 统称 。 与 恶意 软 
件 相近 的 概念 还 有 恶意 代码 (Malicious Code)， 其 含义 与 恶意 软件 相近 ， 区 别 在 于 所 描述 的 粒 
度 不 同 。 恶 意 代码 用 于 描述 完成 特定 恶意 功能 的 代码 片段 ， 而 恶意 软件 则 指 完成 恶意 功能 的 
完整 的 程序 集合 。 

恶意 软件 的 表现 形式 较 多 ， 主 要 有 Virus( 病 毒 )、Worm( 里 虫 )、Bot( 僵 尸 程 序 )、Trojan 
Horse( 特 洛 伊 木马 )、Exploit( 漏 洞 利用 程序 )、Backdoor( 后 门 )、Rootkit( 隐 蔽 程序 )、Spyware( 间 
谍 软 件 )、Spamware( 垃 圾 信息 发 送 软件 )、Adware( 垃 圾 广告 软件 )。 

在 对 恶意 软件 的 名 称 引 用 上 经 常 出 现 混用 、 指 代 不 明 的 情况 。 例 如 ， 许 多 用 户 将 所 有 导 
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致 计算 机 工作 不 正常 (如 变 慢 、 系 统 崩 溃 等 ) 的 恶意 软件 都 统称 为 病毒 ， 将 未 经 用 户 许可 隐藏 
在 计算 机 内 运行 的 恶意 软件 都 称 为 (特洛伊 ) 木 马 等 。 然 而 ， 不 同 表现 形式 的 恶意 软件 的 工作 
原理 、 运 行 机 制 以 及 对 系统 的 破坏 和 危害 都 不 相同 ， 我 们 首先 需要 对 恶意 软件 进行 系统 的 分 
类 ， 以 明确 、 规 范 各 类 恶意 软件 的 概念 ， 区 分 其 间 的 差异 。 这 样 才 能 以 专业 的 方式 对 各 类 恶 
意 软件 进行 准确 表述 ， 进 而 分 析 其 工作 原理 ， 才 可 能 运用 合理 的 防范 措施 。 


8.2 ”恶意 软件 分 类 


各 类 恶意 软件 的 最 终 目 的 ， 都 是 要 进入 目标 系统 ， 完 成 特定 任务 。 我 们 将 入 侵 目标 系统 
并 达到 特定 目的 的 完整 过 程 分 解 为 三 个 阶段 : 

e 获取 对 目标 系统 的 远程 控制 权 。 

e 维持 对 目标 系统 的 远程 控制 权 。 

e 通过 网 络 远程 控制 的 方式 ， 在 目标 系统 上 完成 特定 业务 逻辑 。 这 里 所 说 的 目标 系统 

可 以 是 目标 主机 系统 ， 也 可 以 是 目标 网 络 设备 。 

根据 不 同 恶 意 软件 所 完成 的 功能 在 完整 的 入 侵 过 程 中 所 处 的 阶段 不 同 ,我 们 将 恶意 软件 

分 为 三 种 类 型 。 


8.2.1 获取 目标 系统 远程 控制 权 类 (第 一 类 ) 


获取 目标 系统 远程 控制 权 类 恶意 软件 的 基本 特征 ， 是 在 未 授权 的 条 件 下 ， 能 够 利用 各 种 
手段 获取 对 目标 系统 的 远程 控制 权 ， 即 具有 完整 入 侵 过 程 中 第 一 阶段 的 功能 。 典 型 的 获取 目 
标 系 统 远程 控制 权 的 恶意 软件 有 以 下 几 种 。 

1. Exploit( 漏 洞 利用 程序 ) 


这 是 第 一 类 恶意 软件 的 基本 形式 。Exploit 利用 操作 系统 或 应 用 程序 中 存在 的 缺陷 (Bug， 
又 称 漏洞 )， 可 达到 以 非 授权 的 方式 远程 控制 目标 系统 或 提升 本 地 用 户 权 限 的 目的 。 有 具体 过 程 
为 : 构造 特定 的 输入 数据 并 提交 给 存在 缺陷 的 操作 系统 程序 或 应 用 程序 ， 使 这 些 有 缺陷 的 程 
序 在 所 构造 的 输入 数据 下 ， 正 常 的 程序 流程 发 生 改变 ， 转 向 事先 构造 的 程序 。 构 造 的 程序 被 
执行 后 , 则 可 通过 网 络 使 未 授权 用 户 远程 控制 目标 系统 , 或 使 本 地 普通 用 户 获得 更 高 的 权限 。 

使 用 Exploit 获取 目标 系统 的 远程 控制 权 后 ， 完 整 入 侵 过 程 中 后 续 的 维持 控制 权 、 完 成 
特定 业务 逻辑 的 工作 均 与 Exploit 无 关 。 典 型 的 Exploit 类 恶意 软件 有 Buffer Overflow 
Exploit( 缓 冲 区 溢出 漏洞 利用 程序 )、SQL Injection Exploit(SQL 注入 程序 ) 等 。 当 操作 系统 或 应 
用 程序 的 源 代码 量 达 到 一 定 规模 后 , 程序 中 存在 缺陷 是 不 可 避免 的 , 所 以 各 种 漏洞 层出不穷 ， 
Exploit 类 恶意 软件 也 日 益 增多 。 

容易 造成 误会 的 一 个 观点 是 , Windows 系列 操作 系统 的 漏洞 比 Unix/Linux 系列 的 操作 系 
统 的 漏洞 多 。 事 实 上 ， 目 前 没有 任何 有 说 服 力 的 数据 来 验证 这 个 观点 。 造 成 这 个 误解 的 主要 
原因 在 于 , 对 普通 计算 机 用 户 而 言 , 使 用 Windows 类 系统 的 用 户 数 比 用 Unix/Linux 系统 的 要 
多 得 多 ， 因 而 Windows 系统 漏洞 受害 的 用 户 的 绝对 数量 相应 也 大 得 多 。 
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2. Trojan Horse( 特 洛 伊 木 马 ) 


简称 为 Trojan( 木 马 ), 这 是 伪装 成 合法 程序 以 欺骗 用 户 执行 的 一 类 恶意 软件 。 使 用 Trojan 
入 侵 目标 系统 的 具体 过 程 为 : Trojan 首先 通过 网 络 或 各 种 存储 介质 传播 到 用 户 处 (此 时 并 未 运 
行 )， 因 其 具有 伪装 、 欺 骗 性 ， 常 被 经 验 不 足 或 防范 意识 较 差 的 用 户 运行 (或 打开 )， 木 马 程序 
被 运行 后 ， 释 放出 其 携带 的 Backdoor( 后 门 ) 以 实现 对 目标 主机 的 远程 控制 ， 在 必要 时 还 可 释 
放出 其 携带 的 Exploit 以 提升 用 户 权 限 。 

从 利用 木马 实施 入 侵 的 过 程 可 以 看 出 ， 与 Exploit 仅 包含 获取 远程 控制 权 的 功能 不 同 ， 
除 包含 用 于 欺骗 用 户 在 目标 系统 上 执行 的 Trojan Header( 木 马 头 部 ) 之 外 ，Trojan 还 包含 
Backdoor、Exploit 等 Payload( 载 荷 )， 这 些 Payload 在 Trojan 执行 后 被 释放 出 来 ， 以 维持 对 目 
标 系 统 的 远程 控制 ， 并 完成 特定 业务 逻辑 。 除 通过 可 执行 文件 的 复制 、 欺 骗 执行 来 传播 的 木 
马 外 ， 更 具 坎 骗 性 的 Trojan 类 型 有 邮件 木马 、 网 页 木马 、Office 文档 木马 等 ， 这 几 种 木马 往 
往 在 用 户 毫 不 知情 的 情况 下 就 被 执行 了 ， 和 危害 非常 大 。 

目前 最 为 严重 的 木马 传播 方式 是 网 页 木马 。 大 多 数 缺乏 基本 防范 措施 的 上 网 用 户 ， 出 于 
得 奇 等 心理 ， 在 上 网 浏览 过 程 中 ， 极 容易 被 一 些 标题 “ 诱 人 ”的 网 站 链接 吸引 ， 比 如 花边 新 
闻 、 暴 力 、 色 情 等 内 容 的 链接 。 这 类 链接 的 目的 网 站 大 部 分 都 存在 网 页 木马， 在 用 户 的 操作 
系统 没有 足够 的 防范 措施 时 ， 木 马 就 直接 长 驱 而 入 ， 在 用 户 的 计算 机 中 运行 ， 并 释放 其 包含 
的 Backdoor 或 Exploit 等 载 往 。 

男 一 种 令 木马 广 为 传 播 的 方式 是 Intemet 上 的 软件 下 载 站 点 。 出 于 使 用 方便 的 目的 ， 用 
户 经 常 需要 在 网 上 下 载 各 类 应 用 软件 ， 而 这 些 软件 下 载 站 点 鱼龙混杂 ， 相 当 一 部 分 站 点 中 存 
放 的 软件 已 经 被 “捆绑 ”了 木马 。 在 安装 这 样 的 软件 时 ， 木 马 也 会 得 到 执行 权限 。 

此 外 ， 通 过 简单 的 封装 操作 ， 将 一 些 实用 工具 集成 到 一 个 软件 包 里 面 的 方式 ， 也 为 一 些 
用 心 不 良 的 人 提供 了 木马 传播 的 机 会 。 典 型 的 案例 是 “暴风 影音 ”， 这 是 一 个 集成 了 免费 视 
频 音频 媒体 播放 器 和 一 些 编码 解码 器 的 软件 包 。 用 户 安 装 软件 包 后 ， 播 放 器 、 集 成 的 编码 解 
码 器 将 被 安装 并 关联 常见 的 各 类 视频 、 音 频 文 件 。 但 与 此 同时 ， 软 件 包 还 会 释放 并 执行 其 包 
含 的 载荷 。“ 暴 风 影 音 ” 的 载荷 通常 是 Adware( 垃 圾 广告 软件 ]， 运 行 后 悄悄 在 后 台 执行 ， 让 
用 户 的 计算 机 成 为 其 非法 谋 利 的 工具 。 

3. Worm( 里 虫 ) 


蠕虫 是 有 具有 自我 繁殖 能 力 ， 无 需 用 户 干预 便 可 自动 在 网 络 环境 中 传播 的 一 类 恶意 软件 。 
Worm 利用 目标 系统 的 Weak Password( 弱 口令 ) 或 目标 系统 中 存在 的 程序 缺陷 获得 对 目标 系统 
的 远程 控制 权 ， 并 搜集 目标 系统 内 的 相关 信息 ， 从 而 将 Worm 自身 传染 至 与 目标 系统 有 网 络 
联系 的 其 他 系统 。 比 如 ， 蠕 虫 可 先 传染 到 某 企 业内 部 网 出 口 的 计算 机 ， 然 后 通过 这 人 台 出 口 计 
算 机 传播 至 企业 内 部 的 网 络 中 。 

Worm 自身 的 存在 有 两 种 形式 ， 即 可 执行 文件 的 形式 和 内 存 中 进程 /线程 的 形式 。 当 以 进 
程 /线程 的 形式 存在 时 ,传播 过 程 中 Worm 在 目标 系统 内 不 涉及 文件 操作 ， 故 通常 不 会 被 杀毒 
软件 查 出 ， 具 有 更 强 的 隐蔽 性 。 与 Trojan 类 似 ，Worm 也 包含 Payload 部 分 ， 以 便 在 成 功 入 
侵 目标 系统 后 完成 特定 的 业务 逻辑 , 如 CodeRed Worm, 其 Payload 部 分 的 功能 就 对 白宫 Web 
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服务 器 进行 了 拒绝 服务 (Denial Of Service，DoS) 攻 击 。 
4. Bot( 僵 尸 程序 ) 


Bot 与 Worm 的 共同 点 在 于 有 自主 “意识 ”, 能 自动 完成 某 些 动作 。 若 某 Worm 的 Payload 
部 分 包含 一 个 Backdoor, 则 称 该 Worm 为 Bot。 可 以 这 样 理解 , 可 远程 控制 的 Worm 即 为 Bot。 
Bot 比 Worm 更 进一步 ，Worm 虽然 具有 自主 繁殖 、 传 播 的 能 力 ， 但 其 传播 出 去 之 后 就 不 再 
受 控 ， 不 能 根据 Worm 发 布 者 的 意图 调整 行为 方式 ， 而 Bot 在 传播 出 去 之 后 依然 可 以 对 其 进 
行 控 制 和 调整 。 由 此 可 见 ，Bot 的 危害 性 比 Worm 更 大 ， 制 作 精 巧 的 Bot 甚至 可 以 根据 发 布 
者 的 意图 对 其 Payload 部 分 进行 升级 以 适应 新 的 环境 或 完成 新 的 功能 。 被 Bot 成 功 入 侵 的 受 
控 主 机 即 为 Zombie( 僵 尸 主机 ， 又 称 倪 介 主 机 )， 一 组 Zombie 则 称 为 Bomet。 当 前 Internet 上 
的 主要 安全 威胁 之 一 的 分 布 式 拒绝 服务 (Distributed Denial of Service，DDoS) 攻 击 就 是 通过 向 
Botnet 发 出 针对 特定 目标 的 攻击 命令 来 完成 的 。 

5. Virus( 病 毒 ) 


病毒 是 依附 于 宿主 文件 ， 在 宿主 文件 被 执行 的 条 件 下 跟随 宿主 文件 四 处 传播 并 完成 特定 
业务 功能 的 一 类 恶意 软件 .Virus 的 结构 与 Worm 相似 , 除 包含 用 于 传播 自身 的 Virus Header( 病 
毒 头 部 ) 外 ， 还 包含 用 于 完成 特定 业务 逻辑 的 Payload 部 分 。Virus 和 Worm 是 容易 混淆 的 两 
个 概念 。 两 者 的 主要 区 别 在 于 : 一 是 Worm 的 传播 无 需 宿主 文件 ， 可 通过 网 络 直接 将 Worm 
自身 传播 到 目标 系统 ， 而 病毒 传播 需要 宿主 文件 ， 病 毒 只 能 寄生 在 宿主 文件 中 。 二 是 Worm 
的 繁殖 、 传 播 无 需 人 工 干 预 ， 由 Worm 自主 、 自 动 完 成 ， 而 病毒 的 传播 需要 人 工 干预 。 例 如 ， 
病毒 的 传播 依赖 于 宿主 文件 的 位 置 改 变 ， 宿 主 文件 到 哪里 ， 病 毒 才 可 能 传播 到 哪里 。 而 且 ， 
若 宿主 文 件 未 被 执行 ， 则 寄生 其 中 的 病毒 不 会 感染 目标 系统 。 

第 一 类 恶意 软件 特性 对 比 见 表 8-1。 


表 8-1_ 第 一 类 恶意 软件 特性 对 比 


获取 目标 系统 控制 权 的 能 力 
是 否 包含 Payload 
感染 目标 系统 的 模式 


表 8-1 中 ， 感 染 目标 系统 的 模式 ， 是 指 这 种 恶意 软件 的 传播 是 否 需要 用 户 参与 ， 或 者 说 
是 否 需 要 用 户 进行 操作 。 主 动 模式 意味 着 不 需要 用 户 操作 ， 只 要 用 户 的 机 器 连 在 网 络 中 ， 就 
可 能 被 这 类 意 软件 入 侵 。 被 动 模式 则 表明 只 有 用 户 做 了 某 些 操作 或 动作 ， 这 种 恶意 软件 才 有 
可 能 进入 用 户 的 计算 机 ， 如 果 用 户 什么 都 不 做 ， 这 种 恶意 软件 是 无 法 得 到 执行 权限 的 。 


8.2.2 维持 远程 控制 权 类 (第 二 类 ) 


获取 对 目标 系统 的 远程 控制 权 后 ， 通 过 在 目标 系统 中 运行 此 类 恶意 软件 ， 以 维持 对 目标 
系统 的 持久 远程 控制 。 此 类 恶意 软件 用 于 完整 入 侵 过 程 的 第 二 阶段 。 
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1. Backdoor( 后 门 ) 


后 门 是 一 类 运行 在 目标 系统 中 ， 用 以 在 未 经 授权 的 条 件 下 ， 提 供 对 目标 系统 远程 控制 服 
务 的 恶意 软件 。 需 要 注意 的 是 ，Backdoor 与 第 一 类 恶意 软件 不 同 ，Backdoor 的 作用 是 通过 其 
运行 以 提供 对 目标 系统 未 经 授权 的 远程 控制 的 服务 ， 而 第 一 类 恶意 软件 需要 利用 各 种 手段 来 
达到 此 目的 ， 即 Backdoor 是 以 第 一 类 恶意 软件 为 前 提 的 ，Backdoor 必须 在 目标 系统 上 执行 
后 才能 提供 远程 控制 的 服务 ， 因 此 必须 先 使 用 第 一 类 恶意 软件 以 获得 在 目标 系统 上 执行 程序 
的 权限 。 第 一 类 恶意 软件 是 Backdoor 发 挥 作用 的 前 提 和 基础 ，Backdoor 运行 后 ， 后 续 对 目 
标 系 统 的 远程 控制 均 通过 Backdoor 提供 的 服务 来 完成 。 

2. Rootkit( 隐 蔽 程序 ) 


Rootkit 的 概念 起 源 于 UNIX/Linux 类 操作 系统 ， 在 这 类 操作 系统 中 ，root 代表 管理 员 的 
用 户 名 ，rootkit 最 初 是 指 UNIX/Linux 系统 中 一 组 用 于 获取 并 维持 root 权限 的 工具 集 。 发 展 
至 今日 , 被 广 为 接受 的 Rootkit 概念 是 指 用 于 帮助 入 侵 者 在 获取 目标 主机 管理 员 权 限 后 , 尽 可 
能 长 久 地 维持 这 种 管理 员 权 限 的 工具 。 在 当前 的 Rootkit 概念 中 , 获取 管理 员 权 限 的 过 程 不 
Rootkit 来 完成 ， 即 Rootkit 的 使 用 是 基于 已 经 获得 了 管理 员 权 限 的 假设 。 

由 Backdoor 的 概念 可 知 , Backdoor 仅 提 供 了 一 条 非 授权 访问 、 控 制 目标 系统 的 “通道 ”， 
但 并 不 涉及 对 这 条 通道 的 保护 ， 因 而 这 条 通道 很 容易 被 目标 系统 上 的 管理 员 或 网 络 安全 设备 
察觉 或 检测 到 。Rootkit 的 作用 是 尽 可 能 长 久 地 维持 对 目标 系统 的 远程 控制 ， 故 其 基本 任务 就 
是 要 隐藏 Backdoor 所 提供 的 通道 , 尽 可 能 使 得 目标 系统 上 的 管理 员 或 安全 设备 不 能 察觉 、 松 
测 到 该 通道 的 存在 。 当 前 主流 操作 系统 平台 下 的 Rootkit 已 经 比较 成 熟 ， 内 核 级 的 Rootkit 能 
做 到 对 操作 系统 中 的 进程 、 线 程 、 网 络 连接 、 网 络 数据 、 网 络 通信 目的 地 的 深度 隐藏 ， 以 保 
护 目 标 系统 中 运行 的 恶意 软件 不 被 检测 到 。 设 想 一 下 ， 一 段 程序 在 用 户 的 计算 机 中 运行 ， 但 
用 户 看 不 到 该 程序 对 应 的 进程 甚至 是 线程 ， 也 观测 不 到 该 程序 与 外 界 进行 通信 的 网 络 连接 ， 
观测 不 到 该 程序 所 产生 的 网 络 数据 ， 即 使 能 观测 到 数据 ， 但 无 法 确定 数据 的 目的 地 到 底 是 哪 
里 ， 如 果 这 样 的 程序 在 我 们 的 计算 机 里 运行 ， 将 会 是 什么 样 的 后 果 。 事 实 上 ， 这 种 在 操作 系 


统 里 , 将 自己 彻底 隐蔽 起 来 , 完全 做 到 “无 影 无 形 ”, 没有 任何 手段 能 检测 到 其 存在 的 Rootkit， 
是 完全 可 以 实现 的 。 


在 实际 应 用 中 ，Rootkit 通常 直接 包含 了 Backdoor 的 功能 。 因 此 ， 可 将 Rootkit 理解 为 带 
深度 隐蔽 功能 的 Backdoor。 
第 二 类 恶意 软件 特性 对 比 见 表 8-2。 


表 8-2 第 二 类 恶意 软件 特性 对 比 
Rootkit 
提供 非 授 权 的 远程 访问 通道 
隐藏 自身 的 能 
隐藏 远程 访问 通道 的 能 
隐藏 目标 系统 中 运行 的 其 他 恶意 软件 
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由 表 8-2 可 知 ，Rootkit 不 仅 能 实现 自身 在 系统 中 的 隐藏 ， 同 时 还 对 非 授权 的 远程 访问 通 
道 进 行 隐 藏 。 更 进一步 ，Rootkit 还 根据 需要 ， 对 其 “保护 ”下 的 其 他 恶意 软件 进行 隐藏 。 


8.2.3 ”完成 特定 业务 逻辑 类 (第 三 类 ) 


第 三 类 恶意 软件 用 于 完成 入 侵 目标 系统 后 最 终 所 要 进行 的 操作 , 如 窃取 情报 、 破坏 系统 、 
发 动 攻 击 、 中转 数 据 等 。 第 一 和 第 二 类 恶意 软件 的 作用 在 于 为 第 三 类 恶意 软件 提供 一 个 安全 、 
便捷 的 运行 平台 。 

1. Spyware( 间 谍 软 件 ) 


这 是 典型 的 第 三 类 恶意 软件 ， 用 于 从 目标 系统 中 收集 各 种 情报 、 信 息 ， 如 商业 、 军 事情 
报 ， 用 户 信 用 卡号 、 个 人 隐私 信息 及 文档 ， 各 种 网 站 或 邮箱 用 户 名 、 口 令 等 信息 。 收 集 到 这 
些 信息 后 ，Spyware 通过 网 络 将 其 发 送 给 入 侵 者 。 在 Rootkit 的 保护 下 ，Spyware 本 身 以 及 
Spyware 所 产生 的 网 络 通信 都 被 隐藏 ， 使 得 Spyware 可 在 目标 系统 中 安全 地 存活 下 来 ， 极 难 
被 受害 用 户 发 现 。 

Spyware 在 目标 系统 中 的 运行 途径 主要 有 三 种 : 一 是 将 Spyware 放 在 Worm、 Bot、 Virus、 
Trojan 的 Payload 中 , 在 Worm、Bot、Virus、Trojan 执行 时 被 释放 出 来 并 执行 。 二 是 利用 Exploit 
获取 对 目标 系统 远程 控制 权 后 ， 将 Spyware 通过 网 络 传输 到 目标 主机 并 执行 。 三 是 在 目标 系 
统 上 安装 并 运行 Rootkit、Backdoor 后 , 通过 其 提供 的 远程 控制 服务 将 Spyware 传输 到 目标 主 
机 并 执行 。 为 了 提高 运行 效能 ， 通 常 使 用 第 三 种 方式 。 

2. Spamware( 垃 圾 信息 发 送 软件 ) 


为 了 避免 被 追查 ，Spam( 非 期 望 的 垃圾 信息 ， 如 垃圾 邮件 ) 的 发 送 者 通常 不 会 直接 使 用 自 
己 的 主机 发 送 垃圾 信息 。 为 了 扩大 垃圾 信息 的 发 送 范 围 ， 仅 仅 用 一 台 主 机 发 送 垃圾 信息 是 不 
够 的 。Spamware 就 是 运行 在 大 量 被 入 侵 主机 中 ， 用 于 发 送 垃 圾 信息 的 恶意 软件 ，Spamware 
在 目标 系统 中 的 运行 途径 与 Spyware 类 似 。 

3. Adware( 垃 圾 广告 软件 ) 


它 运行 在 被 入 侵 主机 中 ， 用 于 以 各 种 方式 显示 垃圾 广告 。Adware 在 目标 系统 中 的 运行 
途径 也 与 Spyware 类 似 。 有 时 用 户 在 进行 正常 工作 时 ， 屏 幕 界面 会 突然 跳出 一 些 文字 或 图 形 
对 话 框 ， 或 者 是 浮动 的 广告 条 等 信息 ， 这 就 是 典型 的 被 Adware 入 侵 的 症状 。 此 时 ， 用 户 也 
许 能 定位 到 这 些 广告 程序 对 应 的 进程 ， 并 终止 这 些 进 程 ， 但 很 快 这 些 进程 又 会 被 创建 出 来 ， 
垃圾 广告 重新 布 满 屏幕 ,这 种 现象 很 可 能 是 因为 这 些 Adware 处 在 Rootkit 的 保护 控制 状态 下 。 

4. 其 他 第 三 类 恶意 软件 


其 种 类 很 多 ， 根 据 具 体 应 用 需求 不 同 而 不 同 ， 如 对 目标 系统 进行 攻击 、 破 坏 的 恶意 软件 
有 多 种 不 同 的 类 型 ， 但 目前 尚 无 统一 规范 的 命名 。 
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8.3 恶意 软件 的 运行 症状 


对 普通 恶意 软件 而 言 ， 当 其 在 操作 系统 中 运行 时 ， 会 表现 出 一 些 症状 。 日 常 操作 计算 机 
时 ， 留 心 观察 操作 系统 运行 的 相关 状态 ， 有 助 于 在 一 定 程度 上 检测 普通 恶意 软件 。 
某 系 统 被 恶意 软件 入 侵 后 的 典型 症状 见 图 8-1。 


[commndProret -olx 
[C:\>netstat -ano 加 


Active Connections 

Proto Local hddress Foreign hddress ate PID 
TCP 9.9.9.9:89 89.9.9.9:9 LISTENING 1192 
TCP 9.9.9.9:135 9.9.9.9:9 LISTENING 1932 
TCP 9.0.0.0:445 9.9.9.9:9 LISTENING 4 
TCP 9.9.0.9:1925 9.9.9.9:9 LISTENING 712 
TCP 69.9.9.9:8379 9.9.9.9:9 LISTENING 3248 | 
TCP 127.9.9.1:1433 9.9.9.9:9 LISTENING 1608 
TCP 127.0.0.1:5152 9.9.9.9:9 LISTENING 1524 
TCP 192.168.1.111:139 9.9.9.9:9 LISTENING 4 
TCP 192.168.1.111:1433 9.9.9.9:9 LISTENING 1608 
TCP 192.168.1.111:2742 192.168.109.246:445 SYN_SENT 3248 
TCP 192.168.1.111:2743 192.168.111.37:445 SYN_SENT 3248 
TCP 192.168.1.111:2744 192.168 .241.252:445 SYN_SENT 3248 
TCP 192.168.1.111:2745 192.168.114.213:445 SYN_SENT 3248 
TCP 192.168.1.111:2746 192.168.243.44:445 SYN_SENT 3248 
TCP 192.168.1.111:2747 192.168.116.4:445 SYN_SENT 3248 
TCP 192.168.1.111:2748 192.168 ,245.91:445 SYN_SENT 3248 
TCP 192.168.1.111:2749 192.168.118.51:445 SYN_SENT 3248 
TCP 192.168.1.111:2759 192.168.248.138:445 SYN_SENT 3248 
TCP 192.168.1.111:2751 192.168.121.98:445 SYN_SENT 3248 于 


图 8-1 典型 恶意 软件 运行 症状 


图 8-1 中 ， 使 用 Windows 系统 内 置 的 网 络 状态 查看 命令 netstat， 查 看 当前 IP 地 址 为 
192.168.1.111 的 主机 当前 网 络 状 态 。netstat 命令 所 带 参数 “o” 表 示 列 出 执行 相关 网 络 操作 的 
进程 的 进程 ID。 由 图 可 见 ， 该 主机 发 出 了 大 量 目标 地 址 不 定 、 目 标 端口 为 445 的 TCP 连接 
请 求 (对 应 的 TCP 状态 为 SYN_SENT)。TCP 445 端口 是 Windows 2000/XP/2003 系统 中 用 于 
文件 /打印 共享 的 端口 ， 默 认 情况 下 Windows 系统 的 这 个 端口 处 于 开放 状态 。 但 Windows 系 
统 的 多 个 版 本 均 存 在 445 端口 漏洞 。 本 例 中 的 恶意 软件 显然 是 在 随机 扫描 与 主机 192.168.1.1 
同 处 于 一 个 B 类 了 P 地 址 段 的 其 他 主机 。 由 图 8-1 可 见 ， 此 恶意 软件 的 进程 ID 为 3248。 

这 个 例子 来 自 于 一 个 恶意 软件 样本 。 通 过 不 断 执行 netstat -ano 命令 ,进一步 观察 还 可 发 
现 ， 该 恶意 软件 采取 的 扫描 策略 并 非 是 持续 不 断 地 扫描 ， 而 是 间 葡 性 的 ， 扫 一 段 ， 停 一 会 
儿 ， 再 继续 扫 。 这 样 做 的 目的 是 避免 持续 不 断 扫描 导致 对 系统 CPU 占用 率 的 显著 提高 ， 从 而 
引起 用 户 怀疑 。 

系统 运行 速度 变 慢 是 另 一 种 恶意 软件 导致 典型 的 症状 。 图 8-1 展示 的 恶意 软件 使 用 间 铭 
运行 的 方式 ， 不 会 占用 太 多 CPU， 而 另 一 些 不 够 高 明 的 恶意 软件 ， 在 运行 时 会 显著 提高 目标 
操作 系统 的 CPU 占用 率 ， 从 而 导致 目标 主机 用 户 感觉 运行 速度 明显 变 慢 。 更 严重 时 ， 若 目标 
系统 同时 被 多 个 恶意 软件 入 侵 ， 占 用 目标 系统 的 大 量 CPU 资源 及 内 存 资 源 ， 此 时 ， 目 标 系统 
的 正常 应 用 将 因 资 源 不 足 而 运行 缓慢 。 当 前 的 计算 机 硬件 速度 已 相当 快 ， 用 来 处 理 日 常 办 公 
软件 等 应 用 应 该 很 “流畅 ”， 若 在 使 用 这 类 非 游戏 程序 及 专业 计算 处 理 程序 时 ， 感 觉 计 算 机 
反应 “迟钝 ”， 则 很 可 能 是 因为 计算 机 内 有 非 预期 的 程序 在 运行 ， 尤 以 恶意 软件 存在 可 能 | 
为 点 : 

若 计算 机 在 使 用 过 程 中 ， 用 户 未 进行 操作 ， 硬 盘 灯 却 无 故 频繁 内 动 ， 这 也 是 恶意 软件 在 
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运行 的 症状 。 当 然 ， 系 统 后 台 有 磁盘 碎片 整理 之 类 的 程序 在 运行 的 情况 不 在 此 讨论 范围 。 若 
未 运行 磁盘 优化 等 后 台 程 序 ， 却 出 现 硬 盘 频 繁 读 写 的 情况 ， 则 需要 引起 注意 ， 应 查看 系统 中 
是 否 有 可 疑 进程 在 进行 相关 操作 。 


process Explorer - Sysinternals: www.sysinter [ore] 
Ele Options Yew Brocess Find Hep 
ETI EEL J 
Process PID| _CPU | Description Company Name 
日 到 System Ildle Process 0 100. 
到 INterrupts ma Hardware Interrupts 
到 DPCs ma Deferred Procedure Calls 
日 到 System 8 
日 加 smss.exe 252 Windows NT Session Manager Microsoft Corporation 
四 csrss exe 276 Client Server Runtime Process Microsoft Corporation 
日 重 winlogon .exe 300 Windows NT Logon Application Microsoft Corporation 
日 器 services exe 328 Services and Controller Microsoft Corporation 
日 器 sychost exe 644 Generic Host Process for Win32 Services Microsoft Corporation 
一 cmd exe 376 Windows NT Command Processor Microsoft Corporation 
她 winmgmt exe 708 Windows Management Instrumentation Microsoft Corporation 
加 svchost exe 736 Generic Host Process for Win32 Services Microsoft Corporation 
回 sychostexe 1104 Generic Host Process for Win32 Services Microsoft Corporation 
Dlsass.exe 340 LSA Executable and Server DLL (Expor... Microsoft Corporation 
日 蚂 explorer exe 1032 Windows Explorer Microsoft Corporation 
日 加 cmd.exe 1036 Windows NT Command Processor Microsoft Corporation 
Sprocexp.exe 664 Sysinternals Process Explorer Sysinternals 
CPU Usage: 0.00% |Commk Charge; 12.21% Processes: 16 | 网 


图 8-2 Windows 系统 中 的 常见 进程 


然而 ， 碍 找 可 疑 进程 并 不 是 一 件 容易 的 事情 。 要 了 解 哪个 进程 可 疑 ， 必 须要 了 解 、 熟 悉 
正常 状态 下 系统 里 有 哪些 进程 。 图 8-2 里 列 出 了 Windows XP/2003 系列 操作 系统 中 常见 的 进 
程 。 图 中 进程 列表 是 用 最 专业 的 进程 查看 工具 一 一 Process Explorer 列 出 的 。 这 个 工具 系列 前 
几 年 已 被 微软 收编 ， 目 前 工具 的 最 新 版 本 及 相关 其 他 工具 可 以 从 微软 站 点 http://technetmicrosoft. 
com/en-us/sysinternals/default.aspx 下 载 。 也 可 以 使 用 其 原始 地 址 www.sysintemals.com， 根 据 用 
户 操作 系统 设置 的 语言 类 型 进入 相应 语言 版 本 的 站 点 。 

由 图 8-1 可 见 ， 该 工具 列 出 了 进程 的 名 称 、 进 程 DGPID)、 进 程 的 CPU 占用 率 、 进 程 的 
描述 、 进 程 可 执行 文件 的 公司 信息 ， 其 中 进程 描述 和 公司 信息 都 来 自 于 进程 对 应 可 执行 文件 
内 包含 的 编译 信息 。 双 击 某 进 程 ， 则 可 查看 该 进程 的 详细 信息 ， 如 进程 可 执行 文件 的 完整 路 
径 、 进 程 内 包含 的 线程 、 进 程 的 网 络 操作 状态 等 。 通 过 进程 的 这 些 详细 信息 ， 可 以 大 概 判断 
一 个 进程 的 可 信 程 度 。 需 要 注意 的 是 进程 的 描述 、 公 司 信 息 是 可 执行 文件 编译 时 填写 的 属性 ， 
很 容易 被 伪造 ， 只 能 作为 判断 的 参考 。 


x 


| 加 | EE II | 
Process PID| CPU| Description | Company Name a 
Interrupts ma Hardware Interrupts 
DPCs ma Deferred Procedure Calls 
salSystem 8 
esmss exe 252 Windows NT Session Manager Microsoft Corporation 
csrss exe 276 Client Server Runtime Process Microsoft Corporation 
日 芋 winiogon exe 300 Windows NT Logon Application Microsoft Corporation 
esevices eye 328 Services and Controller app Microsoft Corporation 
Ellssrv exe 564 Microsoft? License Server Microsoft Corporation 
日 局 sychost exe 644 Generic Host Process for Win32 Services Microsoft Corporation 
国 cmd exe 376 Windows NT Command Processor Microsoft Corporation 
她 winmgmt exe 708 Windows Management Instrumentation 。 Microsoft Corporation 
Dsvchost exe 736 Generic Host Process for Win32 Sevices Microsoft Corporation 
Dsvchost exe 1104 Generic Host Process for Win32 Sevices Microsoft Corporation 
Dlsass.exe 340 LSA Executable and Server DLL (Expor... Microsoft Corporation 
Slexplorer.exe 1032 Windows Explorer Microsoft Corporation 
当 mspaintexe 592 Microsoft Paint Microsoft Corporation 
六 procexp exe 664 Sysinternals Process Explorer Sysinternals 
国 sych0stexe 992 Windows Calculator application fle Microsoft Corpr ] = 
本 a 


图 8-3 假冒 Windows 系统 进程 示例 
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图 8-3 是 用 于 说 明 恶 意 软 件 常 用 的 假冒 系统 进程 的 一 个 例子 。 图 中 深 色 框 内 的 进程 
“svch0stexe”( 文 件 名 的 倒数 第 三 个 字符 为 数字 0)， 其 可 执行 文件 来 自 于 Windows 系统 自 带 
的 计算 器 程序 “calc.exe”， 这 里 伪装 成 系统 进程 “svchost”( 倒 数 第 三 个 字符 为 小 写字 母 o)， 
如 果 再 将 “calcexe” 的 可 执行 文件 图 标 改 成 和 “svchostexe” 一 致 ， 并 将 文件 描述 、 公 司 信 
息 都 进行 相应 修改 ， 则 很 容易 欺骗 用 户 ， 误 以 为 “svchOst.exe” 是 一 个 系统 进程 。 

检查 系统 中 是 否 有 非 预期 的 网 络 通 信 ， 是 了 解 系 统 中 是 否 有 恶意 软件 在 运行 的 基本 方 
法 。 恶 意 软件 入 侵 目 标 主机 后 ， 必 然 会 与 外 界 进行 通信 ， 这 个 通信 过 程 或 许 频繁 ， 或 许 是 间 
其 性 的 ， 仔 细 观 察 所 用 计算 机 与 外 界 的 通信 ， 则 能 从 一 些 蛛 丝 马 迹 中 找 出 恶意 软件 的 动作 痕 
迹 。 若 系统 中 没有 网 络 相关 操作 的 程序 在 运行 ， 使 用 netstat 命令 查看 当前 网 络 状态 ， 则 应 当 
如 图 8-4 所 示 ， 除 了 本 地 几 个 TCP 端口 处 于 监听 (Listening) 状 态 、 几 个 UDP 端口 处 于 开放 状 
态 外 ， 系 统 没 有 与 外 界 其 他 任何 主机 有 网 络 联系 。 


C:\>netstat -an 

Active Connections 
Proto Local Address Foreign Address State 
TCF 0.0.0.0:135 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:1031 0.0.0.0:0 LISTENING 
TCP 127. 0. 0. 1:1433 0.0.0.0:0 LISTENING 
TOP 192. 168. 1. 129:139 0.0.0.0:0 LISTENING 
TCP 192, 168. 1. 129:1433 0.0.0.0:0 LISTENING 
UDP 0.0.0.0:445 不: 站 
UDP 0.0.0.0: 34 来 : 李 
UDP 192, 168. 1. 129:137 站 : 冰 
UDP 192. 168. 1. 129:138 宁 : 亲 

并 Be 1 四 本 


图 8-4 检查 非 预期 的 网 络 通信 


图 8-4 所 示 的 情况 比较 理想 ， 实 际 系统 运行 情况 会 复杂 一 些 。 例 如 ， 安 装 的 杀毒 软件 可 
能 会 定期 和 服务 器 联系 ， 看 有 无 病毒 库 更 新 或 者 操作 系统 补丁 自动 升级 程序 会 定期 联系 微软 
的 网 站 看 有 没有 新 的 补丁 等 。 此 时 ， 为 了 准确 判断 ， 应 当先 结束 所 有 可 能 产生 网 络 通信 的 进 
程 ,然后 在 netstat 命令 后 加 上 参数 “-o” 查 看 进行 网 络 操作 的 进程 ID， 然 后 使 用 tasklist 命令 
查看 相关 进程 D(PID) 对 应 哪个 进程 ， 如 图 8-5 所 示 。 如 果 想 了 解 关 于 该 进程 的 详细 信息 ， 可 
使 用 图 8-3 所 示 的 工具 “Process Explorer”。 


oF: MWINDOYS\systes32\cnd. exe 


F:\>tasklist 

图 像 名 PID 会 话 名 会 话 # 内 存 使 用 
Sustem Idle Process 9 9 28 K 
Sustem 4 9 398 K 
smss.exe 388 9 404 K 
csrss.exe 548 9 8,976 K 
Winlogon.exe 576 9 5,748 K 
seruices .exe 629 9 4,304 K 
1sass .exe 632 9 1,660 K 
hti2euxx .exe 796 9 3,136 K 
suchost .exe 840 9 3,588 K 
|suchost .exe 998 9 4,864 K 
suchost .exe 1188 9 22,932 K 
suchost .exe 1264 9 4,720 K 
1 


图 8-5 ”查看 PID 对 应 的 进程 
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除了 前 述 系 统 运行 速度 变化 、 磁 盘 读 写 异常 、 异 常 进程 出 现 、 非 预期 的 网 络 通信 外 ， 若 
发 现 系 统 中 有 无 缘 无 故 新 增加 的 文件 ， 或 者 某 些 文件 的 文件 日 期 、 文 件 图 标 等 发 生 非 人 为 的 
变动 ， 则 可 能 是 系统 中 有 了 恶意 软件 。 所 以 在 日 常 使 用 计算 机 的 过 程 中 ， 需 要 多 留心 系统 运 
行 中 的 一 些 细微 变化 ， 因 为 许多 细微 的 改变 可 能 就 意味 着 系统 运行 状况 的 改变 。 

恶意 软件 会 用 各 种 办 法 来 隐藏 自己 ， 限 于 恶意 软件 作者 的 水 平 ， 并 非 所 有 恶意 软件 都 能 
实现 8.2.2 节 中 所 述 的 Rootkit 的 隐藏 效果 。 但 是 ， 即 使 是 使 用 简单 的 隐藏 手段 ， 也 能 欺骗 相 
当 多 的 用 户 。 图 8-6 所 示 是 Windows 系统 中 的 Folder Options( 文 件 夹 选项 ) 对 话 框 ， 这 个 对 话 
框 的 设置 决定 Windows 的 资源 管理 器 以 什么 样 的 方式 显示 文件 列表 。 这 个 对 话 框 的 打开 方式 
是 : 在 资源 管理 器 中 ， 选 择 菜单 “工具 ”一 “文件 夹 ” 选项， 在 弹出 的 界面 中 选择 “查看 ”， 
即 出 现 图 8-6 所 示 的 界面 。 


General View | Fie Types| 


Folder views 
You can set all of your folders to the same view. 
lg 


Er | 


Advanced settings: 


回 Display the full path in the address bar 
回 Display the full path in tile bar 
国 Hidden files and folders 
© Do not show hidden files and folders 
[加 Show hidden fles and folders 
加 Hide file extensions for known fle types 
Hide protected operating system files [Recommended | 
O Launch folder windows in a separate process 
口 Remember each folder's view settings 
回 Show My Documents on the Desktop 
口 Show pop-up description for folder and desktop iems 


Restore Defaults | 


图 8-6 正确 设置 文件 夹 选 项 


图 8-6 所 示 的 是 正确 的 设置 方式 。 我 们 主要 关注 深 色 区 域 部 分 的 几 个 选项 ， 这 几 个 选项 
是 Windows 系统 (特别 是 Windows XP) 的 默认 设置 选项 ， 非 常 弱 智 ， 很 容易 造成 用 户 被 各 类 
简单 的 恶意 软件 欺骗 。 

在 图 8-6 中 ， 应 选中 Show hidden files and folders( 显 示 隐 藏 的 文件 和 文件 夹 ) 单 选 按钮 ， 
如 果 不 选 中 该 单 选 按钮 ， 则 恶意 软件 只 需 简 单 地 修改 文件 的 “隐藏 ”属性 ， 文 件 就 不 会 在 资 
源 管理 器 中 列 出 。 

在 图 8-6 中 应 取消 选中 Hide file extensions for known file types( 隐 藏 已 知 类 型 文件 的 扩展 
名 ) 复 选 框 ， 否 则 Windows 系统 会 将 大 多 数 文 件 的 扩展 名 忽略 不 显示 。 例 如 ， 某 个 可 执行 文 
件 的 完整 文件 名 为 “testexe”， 若 选中 该 复 选 框 Windows 会 认为 “.exe” 文 件 是 已 知 类 型 文 
件 ( 可 执行 文件 )， 则 不 显示 其 扩展 名 ， 在 资源 管理 器 中 就 只 列 出 “test”。 恶 意 软 件 可 以 利用 
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这 个 特点 ， 将 某 个 木马 可 执行 文件 改名 为 “test.doc.exe”， 则 在 第 二 个 选项 错误 的 设置 下 ， 
Windows 资源 管理 器 里 列 出 的 是 “test.doc”， 同 时 木马 的 可 执行 文件 图 标 也 被 修改 为 Word 
文件 的 图 标 ， 用 户 很 容易 就 被 欺骗 了 ， 误 以 为 这 是 一 个 Word 文档 ， 一 旦 尝试 打开 ， 则 木马 
进入 了 用 户 的 系统 。 如 果 恶 意 软件 的 发 布 者 将 这 个 全 名 为 “testdoc.exe” 文 件 改名 为 “最 新 
内 幕 消息 .doc.exe” 之 类 的 文件 名 ， 则 上 当 受 骗 的 用 户 会 大 大 增加 。 

在 图 8-6 中 也 应 取消 选中 于 de protected operation system files( 隐 藏 受 保护 的 操作 系统 文件 ) 
复 选 框 ， 否 则 恶意 软件 只 需 修改 系统 文件 属性 ， 即 可 伪装 成 所 谓 的 “操作 系统 文件 ”， 因 而 
必须 让 所 有 的 文件 都 显示 出 来 ， 不 管 是 不 是 真 的 操作 系统 文件 。 


8.4 恶意 软件 的 防范 


恶意 软件 的 防范 ， 需 要 根据 恶意 软件 的 不 同类 型 ， 采 取 不 同 措施 。 

针对 获取 目标 系统 远程 控制 权 类 ， 首 先 需 要 做 到 的 基本 要 求 是 及 时 更 新 补丁 。 更 新 补丁 
包括 更 新 操作 系统 补丁 和 各 种 应 用 程序 的 补丁 。 操 作 系统 的 补丁 不 更 新 ， 很 可 能 让 入 侵 者 在 
网 络 上 无 声 无 息 地 就 进入 受害 者 的 系统 。 应 用 系统 的 补丁 不 更 新 ， 则 会 导致 即使 在 正常 操作 
下 也 会 因为 应 用 软件 的 漏洞 而 被 入 侵 ， 如 典型 的 Office 系列 漏洞 。 作 为 正常 运行 状态 ， 用 户 
打开 一 个 Word 文档 ， 或 者 Excel 文档 、PowerPoint 文档 ， 不 应 当 出 问题 ,但 是 在 利用 Office 
软件 漏洞 的 前 提 下 ， 通 过 精心 构造 的 Word 等 文档 ， 能 使 得 用 户 在 打开 文档 的 同时 ， 恶 意 软 
件 被 执行 ， 从 而 导致 系统 被 入 侵 。 

在 操作 系统 补丁 、 应 用 系统 补丁 及 时 更 新 的 基础 上 ， 要 想 不 被 获取 目标 系统 远程 控制 权 
类 恶意 软件 入 侵 ， 还 需要 用 户 在 使 用 计算 机 时 格外 小 心 ， 即 彻底 杜绝 打开 来 历 不 明 的 文件 。 
无 论 是 可 执行 文件 ， 还 是 Office 文档 、PDF 文档 ， 甚 至 是 RMVB 等 视频 文件 。 所 有 这 些 不 
同类 型 的 文件 中 ， 都 可 能 附带 恶意 软件 ， 在 这 些 文件 被 执行 或 打开 时 ， 亚 意 软件 即 被 释放 并 
入 侵 系 统 。 

但 是 ， 辨 别 来 历 不 明 的 文件 并 不 容易 ， 特 别 是 非 专业 用 户 更 容易 被 欺骗 、 诱 惑 。 为 了 将 
损失 降 到 最 低 ， 在 操作 计算 机 时 ， 应 该 遵循 信息 安全 保障 的 一 条 基本 原则 ， 即 “最 小 权限 原 
则 ”。 也 就 是 说 ， 只 给 操作 计算 机 的 用 户 分 配 基本 的 、 最 小 的 、 必 备 的 权限 。 采 用 最 小 权限 
原则 的 典型 案例 有 银行 、 超 市 等 场所 的 终端 计算 机 ， 这 些 场所 的 计算 机 只 需 处 理 相关 的 基本 
业务 ， 无 需 任何 其 他 功能 ， 因 而 只 为 这 些 终端 操作 用 户 提 供 基本 的 业务 处 理 界面 ， 无 需 也 不 
进入 任何 其 他 界面 ， 这 样 才 能 保障 终端 计算 机 的 正常 有 效 运 转 。 

对 普通 个 人 计算 机 用 户 而 言 ， 最 小 权限 原则 应 当 以 这 样 的 方式 来 实施 : 当 用 户 安 装 完 操 
作 系 统 ( 尽 可 能 使 用 原版 操作 系统 )、 操 作 系统 补丁 、 日 常 所 需 应 用 软件 ( 尽 可 能 使 用 官方 提供 
的 软件 光盘 或 官方 网 站 下 载 的 版 本 )、 应 用 软件 补 本 后， 应 立即 建立 一 个 普通 用 户 账 号 ， 然 后 
登 出 Logoub 管 理 员 账号 (Windows 系统 的 管理 员 用 户 名 为 Administrator)， 再 以 普通 用 户 账号 
登录 。 日 常 的 工作 全 部 都 以 普通 用 户 账号 来 操作 。 在 普通 用 户 账号 状态 下， 即使 用 户 计算 机 
被 恶意 软件 入 侵 ， 所 造成 的 破坏 也 比较 有 限 ， 不 会 导致 计算 机 被 恶意 软件 彻底 控制 。 除 非 万 
不 得 已 ， 比 如 需要 安装 某 些 涉 及 系统 低层 功能 (如 驱动 程序 、 系 统 服务 程序 ) 的 软件 ， 在 保障 
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软件 来 源 可 靠 的 前 提 下 ， 用 户 方 可 登 出 普通 用 户 ， 以 管理 员 身 份 登录 进行 相关 操作 ， 完 毕 之 
后 立即 切换 回 到 普通 用 户 身份 。 这 种 操作 模式 对 普通 用 户 而 言 确实 带 来 一 些 麻烦 ， 但 安全 和 
麻烦 是 一 对 如 影 随 形 的 兄弟 ， 方 便 就 带 来 安全 风险 ， 麻 烦 相 对 则 能 降低 风险 。 

避免 被 获取 目标 系统 远程 控制 权 类 恶意 软件 入 侵 ， 对 操作 系统 的 安装 也 有 要 求 。 在 恶意 
软件 存在 的 网 络 环境 中 的 测试 表明 ， 如 果 在 更 新 操作 系统 补丁 之 前 就 将 计算 机 接 入 网 络 ， 网 
络 中 的 恶意 软件 会 在 很 短 时 间 内 发 现 这 台 未 更 新 补丁 的 主机 ， 并 立即 利用 系统 漏洞 感染 、 入 
侵 该 主机 。 因 此 ， 正 确 的 做 法 是 ， 在 安装 操作 系统 之 前 ， 就 应 当 将 操作 系统 的 最 新 补丁 程序 
准备 好 ， 并 将 主机 从 网 络 中 断 开 ， 待 操作 系统 安装 完毕 、 补 丁 更 新 完毕 后 ， 方 可 将 主机 接 入 
网 络 中 。 

针对 维持 远程 控制 权 类 恶意 软件 ， 基 本 的 防范 手段 是 安装 杀毒 软件 及 防火 墙 ， 对 系统 内 
所 有 的 文件 操作 进行 监控 ， 并 定期 对 系统 进行 扫描 ， 同 时 阻止 来 自 其 他 未 授权 计算 机 的 网 络 
连接 。 此 外 需要 关注 信息 安全 动态 ， 当 出 现 新 的 恶意 软件 时 ， 及 时 使 用 专 杀 工具 对 系统 进行 
完整 扫描 。 在 此 基础 上 , 注意 经 常 关闭 网 络 应 用 程序 , 以 检查 系统 有 无 非 预 期 的 网 络 通信 动作 。 

然而 ， 杀 毒 软件 、 恶 意 软件 专 杀 工具 等 ， 都 只 能 利用 恶意 软件 的 特征 码 进行 扫描 ， 而 出 
于 某 些 特 殊 目 的 ， 网 络 上 的 某 些 恶意 软件 并 没有 被 各 大 杀毒 软件 厂商 捕获 到 样本 ， 因 而 不 可 
能 被 任何 杀毒 软件 查 出 。 所 以 ， 过 于 依赖 杀毒 软件 ， 认 为 安装 了 杀毒 软件 并 及 时 更 新 病毒 库 


对 完成 特定 业务 逻辑 类 恶意 软件 的 防范 ， 与 维持 远程 控制 权 类 恶意 软件 防范 类 似 ， 只 能 
通过 杀毒 软件 、 专 杀 工 具 对 系统 进行 扫描 。 基 于 前 述 理由 ， 这 种 手段 只 能 起 到 一 定 程度 上 的 
辅助 作用 。 

综合 来 看 ， 当 前 的 恶意 软件 种 类 繁多 、 变 种 更 新 频率 很 快 ， 仅 靠 杀毒 软件 等 方法 ， 都 只 
能 对 恶意 软件 的 清除 起 到 有 限 的 作用 。 一 旦 恶意 软件 入 侵 到 系统 中 , 往往 会 对 系统 造成 破坏 ， 
因而 很 难 彻底 清除 。 在 很 多 情况 下 ， 只 能 通过 格式 化 系统 分 区 、 重 新 安装 操作 系统 的 方式 来 
对 系统 内 的 恶意 软件 进行 清除 。 

但 是 ， 即 使 格式 化 分 区 ， 其 至 格式 化 整个 硬盘 的 所 有 分 区 ， 乃 至 将 硬盘 所 有 分 区 都 删除 
再 重新 分 区 ， 也 不 能 保证 恶意 软件 就 被 彻底 清除 了 。 因 为 我 们 所 使 用 的 硬盘 的 第 一 个 扇 区 (一 
个 扇 区 包含 512 个 字 节 )， 称 为 MBR(Master Boot Record， 主 引导 记录 )， 在 以 上 格式 化 、 习 
新 分 区 等 动作 中 ，MBR 的 开头 一 段 代 码 以 及 紧 跟 MBR 的 后 续 几 十 个 扇 区 的 数据 ， 都 不 会 受 
到 影响 。 如 果 恶 意 软件 存在 与 这 些 不 受 格式 化 、 分 区 影响 的 区 域 ， 自 然 不 会 被 清除 。 

如 果 我 们 使 用 工具 软件 ， 例 如 磁盘 编辑 工具 ， 将 上 述 MBR 等 扇 区 的 内 容 清除 ， 是 不 是 
就 彻底 清除 了 所 有 的 恶意 软件 呢 ? 结果 并 不 是 这 样 。 

回答 这 个 问题 ， 我 们 需要 了 解 计 算 机 的 启动 过 程 。 对 x86 架构 的 计算 机 而 言 ， 在 其 上 电 
的 一 瞬间 ， 执 行 的 是 FFFF:0000 地 址 处 的 程序 代码 ， 而 此 处 的 程序 代码 来 自 于 主板 的 BIOS 
芯片 ， 上 电 后 的 自 检 过 程 中 会 检查 显卡 、 网 卡 等 外 设 。 如 果 需 要 ， 则 执行 显卡 、 网 卡 的 BIOS 
里 面 的 相关 初始 化 程序 。 由 以 上 过 程 可 知 ， 如 果 恶 意 软件 驻 留 在 主板 BIOS 芯片 ， 或 者 显卡 
网 卡 BIOS 芯片 ， 乃 至 网 卡 的 启动 芯片 里 ， 则 无 论 我 们 怎样 格式 化 硬盘 、 清 除 硬 盘 MBR,， 或 
者 低级 格式 化 硬盘 ， 都 丝毫 不 会 影响 到 恶意 软件 的 存在 。 更 为 可 怕 的 是 ， 在 这 样 一 台 在 上 电 
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的 同时 恶意 软件 就 已 被 执行 的 计算 机 上 ， 是 无 法 用 任何 手段 检测 出 恶意 软件 的 存在 的 。 因 为 
恶意 软件 最 先 获得 了 控制 权 ， 即 使 使 用 工具 来 检测 主板 BIOS 等 的 内 容 ， 得 到 都 是 虚假 信息 。 
事实 上 ， 相 关 资 料 表明 ， 这 类 基于 主板 BIOS 的 Rootkit 已 经 有 现实 中 的 版 本 。 
由 上 述 分 析 可 知 ， 一 旦 计算 机 被 恶意 软件 入 侵 ， 特 别 是 在 管理 员 权限 下 ， 可 以 对 计算 机 
进行 任何 操作 ,包括 对 计算 机 的 所 有 硬件 (如 主板 BIOS 等 ) 的 操作 .如 果 遇 到 上 述 高 级 Rootkit， 
则 通过 这 台 计 算 机 本 身 是 根本 无 法 实现 对 恶意 软件 的 检测 、 清 除 的 。 

因此 ， 需 要 从 源头 控制 恶意 软件 的 入 侵 ， 也 就 是 尽 最 大 努力 做 好 针对 第 一 类 恶意 软件 一 一 
维持 远程 控制 权 类 恶意 软件 的 防范 , 从 源头 上 堵 住 恶意 软件 。 以 断 开 网 络 安装 操作 系统 为 前 提 ， 
在 安装 好 系统 补丁 、 可 信 来 源 应 用 软件 、 应 用 补丁 ， 开 启 防火 墙 后 ， 以 普通 用 户 身份 来 操作 
计算 机 。 在 这 样 的 普通 用 户 身 份 环境 下 ， 即 使 运行 了 恶意 软件 ， 由 于 普通 用 户 权限 不 能 直接 
操作 硬件 ， 也 能 将 恶意 软件 的 入 侵 概 率 尽 可 能 降低 。 


本 章 小 结 


本 章 从 一 次 完整 入 侵 的 过 程 分 析 ， 归 纳 出 三 种 类 型 的 恶意 软件 ， 并 对 三 类 恶意 软件 的 工 
作 机 制 、 主 要 功能 、 特 征 进 行 了 齐 析 。 在 总 结 各 类 恶意 软件 运行 症状 的 基础 上 ， 盖 述 了 清除 
恶意 软件 的 困难 之 处 ， 总 结 出 有 效 防范 恶意 软件 的 基本 原则 在 于 从 源头 控制 、 防 范 ， 并 给 出 
了 防范 要 点 。 


课 后 练习 


一 、 填空 题 

1. Worm( 蠕 虫 )、Virus( ) 是 两 类 早期 出 现 的 恶意 软件 形式 。 

2. 根据 恶意 软件 在 入 侵 过 程 中 所 处 不 同 阶段 ， 恶 意 软 件 通常 可 分 为 获取 远程 控制 权 类 、 
( ) 类 、 完 成 特定 业务 逻辑 类 三 种 类 型 。 

3. 查看 当前 主机 网 络 连 接 状 态 的 命令 是 ( )。 

4. 格式 化 硬盘 并 非 一 定 能 将 恶意 软件 从 硬盘 内 清除 干净 , 主要 是 因为 恶意 软件 可 用 从 硬 
盘 的 ( ) 获 得 执行 权限 。 

5. 防范 恶意 软件 通过 Office 文档 进行 传播 的 主要 手段 是 为 Office 系统 ( 入 


二 、 选择 题 
1. 恶意 软件 中 ，Trojan Horse 是 指 ( 。 )。 
A. 病毒 B. 蠕虫 C. 特洛伊 木马 。 D. 漏洞 利用 程序 
2. 恶意 软件 中 ，Exploit 是 指 ( 。 )。 
A. 病毒 B. 蠕虫 C. 特洛伊 木马 。 D. 漏洞 利用 程序 
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3. 维持 远程 控制 权 类 恶意 软件 的 主要 目的 是 ( 。  )。 


A. 保护 其 他 恶意 软件 B. 完成 特定 业务 逻辑 
C. 尽力 传播 恶意 软件 D. 扫描 附近 其 他 主机 漏洞 
4. netstat 命令 所 带 参 数 “o” 的 作用 是 列 出 ( 。 )。 
A. 相关 网 络 操作 进程 的 输出 B. 相关 网 络 操作 进程 的 进程 DD 


C. 相关 网 络 操作 进程 的 线程 输出 D. 相关 网 络 操作 进程 的 线程 数量 
5. SQL Injection 是 指 ( 。 )。 

A. SQL 查询 B. SQL 漏洞 C. SQL 注入 D. 以 上 都 不 是 
三 、 简 答题 


1. 获取 目标 系统 远程 控制 权 类 恶意 软件 的 主要 入 侵 手 段 有 哪些 ? 

2. 第 一 类 恶意 软件 中 ， 非 主动 方式 感染 目标 系统 的 是 哪 一 种 ? 其 感染 原理 是 什么 ? 
3. 只 观看 从 网 络 上 的 电影 绝 不 会 被 恶意 软件 入 侵 ， 这 个 观点 是 否 正确 ? 原因 是 什么 ? 
4. 简 述 操作 系统 补丁 、 应 用 软件 补丁 及 时 更 新 的 重要 性 。 

5. 简 述 充分 运用 最 小 权限 原则 ， 能 有 效 降低 恶意 软件 造成 的 危害 的 原理 。 
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前 面 的 章节 介绍 过 密码 算法 基础 、 身 份 认证 以 及 访问 控制 相关 的 内 容 ， 其 中 涉及 一 些 认 
证 协议 和 密 钥 交换 协议 ， 它 们 都 属于 安全 协议 的 一 小 部 分 。 这 一 章 我 们 将 介绍 Internet 安全 
协议 有 关 的 基本 概念 、 安 全 协议 及 其 特点 和 不 足 ， 使 读者 能 够 在 实际 工作 中 对 己 知 协议 的 缺 
陷 和 可 能 受到 的 攻击 采取 安全 防范 措施 ， 加 强 系统 的 安全 性 和 稳定 性 。 所 谓 知己 知 彼 百 战 百 
胜 ， 了 解 既 有 的 网 络 安全 协议 和 标准 ， 了 解 对 协议 进行 安全 性 分 析 的 方法 ， 才 能 掌握 在 企业 
应 用 中 使 用 这 些 协议 和 标准 来 架构 安全 的 网 络 应 用 体系 ， 以 期 进一步 提高 在 信息 安全 方面 的 
理论 水 平和 实践 能 力 。 


本 章 重 点 

IPSec 协议 
TLS 协议 
Kerberos 协议 
SET 协议 


9.1 安全 协议 概述 


所 谓 协议 就 是 两 个 或 两 个 以 上 的 参与 者 为 完成 某 项 特定 的 任务 而 采取 的 一 系列 步骤 。 这 
个 定义 包含 三 层 含义 : 

e 协议 自始至终 是 有 序 的 过 程 ， 每 一 个 步骤 必须 执行 ， 在 前 一 步 没 有 执行 完成 之 前 ， 

后 面 的 步骤 不 可 能 进行 。 

e 协议 至 少 需要 两 个 参与 者 。 

e 通过 协议 必须 能 够 完成 某 项 任务 。 

前 面 介绍 过 的 密码 协议 是 使 用 密码 学 技术 的 协议 ， 协 议 的 参与 者 可 能 是 可 以 信任 的 人 ， 
也 可 能 是 攻击 者 和 完全 不 信任 的 人 。 密 码 协议 包含 某 种 密码 算法 ， 在 网 络 通信 中 最 常用 的 、 
基本 的 密码 协议 按照 其 完成 的 功能 可 以 分 为 三 类 : 密码 交换 协议 、 认 证 协议 、 认 证 和 密 钥 交 
换 协 议 。 

上 述 这 些 协议 都 属于 安全 协议 的 范畴 ， 一 个 安全 协议 定义 了 一 个 或 多 个 系统 的 安全 。 如 
果 将 一 个 计算 机 系统 架设 成 有 一 个 用 来 转换 状态 的 转换 函数 集合 组 成 的 有 限 自 动机 ， 那 么 安 
全 协议 有 如 下 的 定义 。 
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1. 定义 1 

安全 协议 就 是 一 种 状态 形式 , 它 把 系统 的 状态 分 割 为 一 个 确定 的 安全 的 状态 集合 与 一 个 
不 稳定 的 不 安全 的 状态 集合 。 

人 


安全 系统 就 是 指 系统 处 在 稳定 的 状态 而 不 能 转 为 不 稳定 的 状态 。 


3. 定义 3 
当 系 统 进 入 非 稳定 状态 时 安全 将 被 破坏 。 
4. 定义 4 


假设 X 表示 一 个 实体 集合 ，I 表 示 某 些 信息 ， 那 么 如 果 中 没有 成 员 包 括 了 关于 工 的 信 
息 ， 则 I 拥有 秘密 访问 X 的 权利 。 


5. 定义 5 

让 XX 表示 一 个 实体 集合 ,I 表示 某 些 信息 ， 那 么 如 果 XX 中 所 有 成 员 都 信任 I 的 信息 ， 则 
I 拥有 公开 访问 X 的 权利 。 

6. 定义 6 

让 X 表示 为 一 个 实体 集合 ，I 表示 某 些 信 息 ， 那 么 如 果 X 中 所 有 成 员 都 能 存 取 I， 则 I 
拥有 有 效 的 访问 X 的 权利 。 

7. 定义 7 

安全 手段 就 是 指 实施 某 部 分 安全 协议 的 实体 和 步骤 。 

8. 定义 8 

安全 模式 就 是 一 种 提供 特殊 协议 或 者 协议 集 的 模式 。 

9. 定义 9 

军事 安全 协议 是 主要 提供 机 密 性 的 安全 协议 。 

10. 定义 10 


商业 安全 协议 是 主要 提供 完整 性 的 安全 协议 。 


11. 定义 11 
一 个 秘密 协议 是 一 个 只 处 理 秘密 性 的 安全 协议 。 
12. 定义 12 


一 个 完整 的 协议 是 一 个 处 理 其 真实 性 、 完 整 性 的 安全 协议 。 
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13. 定义 13 


一 个 由 开发 者 控制 的 存储 控制 , 建立 存储 由 控制 (或 者 是 它 所 拥有 的 信息 ) 的 创造 者 决定 的 。 
安全 协议 一 般 不 能 有 详细 的 说 明 ， 或 者 说 只 能 是 很 少 的 一 部 分 。 很 明确 的 安全 协议 是 依 
赖 于 它 执行 的 环境 。 一 个 经 过 试验 证 明 的 实验 , 在 办 公 室 环境 中 可 能 有 一 个 不 能 改写 的 协议 。 
个 银行 需要 一 个 相当 明确 的 协议 ， 规 定 各 项 工作 的 步骤 和 部 门 的 职责 。 
协议 的 目的 就 是 能 遵守 条 约 ， 而 且 声 明 系统 管理 者 和 用 户 都 必须 遵守 法 律 。 这 个 协议 的 
实施 也 是 有 一 定 的 步骤 的 。 对 于 较 小 的 违约 行为 ， 系 统 可 以 自我 修复 。 


9.2 IPSec 协议 


TCP/P 的 层次 不 同 提供 的 安全 性 也 不 同 ， 例 如 ， 在 网 络 层 提供 虚拟 私有 网 络 (VPN)， 在 
传输 层 提供 安全 套 接 服务 (Sockeb。 下 面 着 重 介绍 在 Intemet 层 的 安全 性 ， 即 了 PSec 的 相关 内 
容 。 有 兴趣 的 读者 可 以 自行 搜索 阅读 协议 标准 文档 RFC2401 。 


9.2.1 IPSec 概述 


对 Intemet 层 的 安全 协议 进行 标准 化 的 想法 早 就 有 了 ， 在 过 去 的 几 十 年 里 已 经 提出 了 一 
些 方案 。 例 如 “安全 协议 3 号 (SP3)” 就 是 美国 国家 安全 局 以 及 标准 技术 协会 作为 “安全 数据 
网 络 系统 (SDNS)” 的 一 部 分 而 制定 的 。“ 网 络 层 安 全 协议 (NLSP)” 是 美国 国家 科技 研究 所 提 
出 的 包括 人 和 CLNP 在 内 的 统一 安全 机 制 .SwlPe 是 另 一 个 Intemet 层 的 安全 协议 ,由 Ioannidis 
和 Blaze 提出 并 实现 原型 。 

所 有 这 些 协 议 的 提案 的 共同 点 多 于 不 同 点 , 事实 上 , 它们 都 使 用 的 是 卫 封装 技术 。 其 本 
质 是 ， 纯 文本 的 包 被 加 密 ， 封 装 在 外 层 的 卫 包头 里 ， 用 来 对 加 密 的 包 进 行 Intemet 上 的 路 由 
选择 。 到 达 另 一 端 时 ， 外 层 的 王 报头 被 拆 开 ， 报 文 被 解密 ， 然 后 送 到 接收 报 文 的 地 点 。 

Intemet 工程 特 遗 组 IETF) 特 许 Intemet 协议 安全 协议 GPSec) 工 作 组 对 卫 安全 协议 和 对 应 
的 Intemet 密 钥 管理 协议 进行 标准 化 工作 。IPSec 的 主要 目的 是 使 需要 安全 措施 的 用 户 能 够 使 
用 相应 的 加 密 安全 体制 。 该 体制 不 仅 能 在 通行 的 IPIPv4) 下 工作 ， 也 能 在 IP 的 新 版 本 (Png 
或 IPv6) 下 工作 。 该 体制 是 与 算法 无 关 的 , 即使 替换 了 加 密 算法 , 也 不 对 其 他 部 分 的 产生 影响 。 
按照 这 个 要 求 ，IPSec 工作 组 制定 出 了 一 套 规 范 。 

IPSec 被 设计 成 为 能 够 为 IPv4 和 IPv6 提供 可 交互 操作 的 高 质量 的 基于 加 密 的 安全 。 安 全 
服务 集 提供 包括 访问 控制 、 无 连接 的 完整 性 、 数 据 源 认 证 、 抗 重播 (Replay) 保 护 序 列 完整 性 
(SequenceIntegrity) 的 一 个 组 成 部 分 、 保 密 性 和 有 限 传 输 流 保密 性 在 内 的 服务 。 这 些 服务 是 基 
于 人 P 层 的 ， 提 供 对 IP 及 其 上 层 协 议 的 保护 。 

IPSec 为 中 层 提供 安全 服务 ， 它 使 系统 能 按 需 选择 安全 协议 ， 决 定 服务 所 使 用 的 算法 及 
放置 服务 所 需 密 钥 到 相应 位 置 。IPSec 用 来 保护 一 条 或 多 条 主机 与 主机 间 、 安 全 网 关 与 安全 
网 关 间 、 安 全 网 关 与 主机 间 的 路 径 。 在 IPSec 文档 中 ，“ 安 全 网 关 ” 指 的 是 执行 IPSec 协议 
的 中 间 系 统 (Intermediate System)。 例 如 ， 路 由 器 或 实现 了 IPSec 的 防火 墙 ， 我 们 称 之 为 “ 安 
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全 网 关 ”。 
IPSec 能 提供 的 安全 服务 包括 访问 控制 、 无 连接 的 完整 性 、 数 据 源 认证 、 抗 重播 Replay) 

保护 、 保 密 性 和 有 限 传输 流 保密 性 在 内 的 服务 。IPSec DOI 也 支持 卫 压缩 协议 。 当 在 IPSec 

中 使 用 加 密 而 阻碍 底层 压缩 的 有 效 性 时 ，IP 压缩 协议 被 激活 。 这 些 算法 辅 以 IPSec 传输 保护 

和 密 钥 管理 协议 的 使 用 , 为 系统 和 应 用 开发 者 采用 基于 人 P 层 的 高 质量 的 加 密 的 安全 技术 提供 

了 途径 。 

9.2.2 IPSec 安全 体系 结构 


IPSec 实现 工作 于 一 个 主机 或 一 个 安全 网 关 的 环境 中 ， 对 卫 传输 提供 保护 。 所 提供 的 保 
护 是 基于 : 由 用 户 或 系统 管理 员 建 立 和 维护 的 安全 策略 数据 库 (SPD) 所 定义 的 需求 ; 由 用 户 或 
系统 的 管理 员 建 立 的 具有 约束 性 应 用 操作 所 定义 的 需求 。 通常 , 通过 基于 同 数 据 库 (SPD) 入 口 
相 匹 配 的 下 层 和 传输 层 头 部 信息 的 三 种 处 理 模式 之 一 来 选择 包 。 每 一 个 包 或 被 给 予 PSec 安 
全 服务 或 被 丢弃 或 被 允许 通过 IPSec， 这 都 基于 选择 符 定义 的 相应 数据 库 策略 。 

1. IPSec 工作 原理 


IPSec 使 用 两 个 不 同 的 协议 一 一 AH 和 ESP 来 确保 通信 的 认证 、 完 整 性 和 机 密 性 。 它 既 
可 以 保护 整个 下 数据 报 ， 也 可 以 只 保护 上 层 协议 。 

e IP 头 部 认证 (AH 提供 无 连接 的 完整 性 验证 、 数 据 源 认证 、 选 择 性 抗 重播 服务 。 

e 封装 安全 负载 (CSP) 提 供 加 密 、 有 限 传输 流 加 密 。 它 也 提供 无 连接 的 完整 性 验证 、 数 
据 源 认证 、 抗 重播 服务 。 无 论 ESP 什么 时 间 被 调用 ， 这 些 安全 服务 的 某 一 集合 必须 
被 应 用 。 

e。 AH 和 ESP 均 是 基于 密 钥 的 分 布 和 与 这 些 安全 协议 相关 的 传输 流 管理 ，AH 和 ESP 
均 可 作为 访问 控制 的 媒介 物 。 

这 些 协议 或 者 独立 使 用 或 者 组 合 使 用 以 提供 Pv4 和 IPv6 环境 下 所 需 的 安全 服务 集 。 每 

个 协议 支持 两 种 使 用 模式 : 传输 模式 、 隧 道 模 式 。 在 隧道 模式 下 ， 了 下 数据 报 被 IPSec 协议 完 
全 加 密 成 新 的 数据 报 , 并 通过 隧道 传输 ; 在 传输 模式 下 , 仅仅 是 有 效 负 荷 被 卫 Sec 协议 将 IPSec 
头 插入 卫 头 和 上 层 协 议 头 之 间 传 输 ， 为 高 层 提供 基本 的 保护 。 

IPSec 允许 用 户 ( 系 统管 理 员 ) 控 制 安全 服务 的 粒度 (Granularity)。 例 如 ， 用 户 可 以 在 两 个 
安全 网 关 间 创建 单一 加 密 隧 道 传输 所 有 信息 ， 也 可 以 为 每 一 通过 这 些 网 关 通 讯 的 主机 对 的 每 
一 个 TCP 连接 创建 一 个 独立 的 加 密 隧道 。 

IPSec 管理 必须 体现 下 列 特性 。 

e 使 用 哪些 安全 服务 及 在 哪 种 组 合 中 被 使 用 。 

e 指定 安全 保护 应 该 使 用 的 粒度 。 

e 对 基于 加 密 的 安全 产生 影响 的 算法 。 

因为 这 些 安全 服务 使 用 共享 的 安全 值 ( 密 钥 )，IPSec 依赖 一 组 独立 的 机 制 来 存放 这 些 密 
钥 。 这些 密 钥 用 作 认 证 、 完 整 性 验证 及 加 密 服 务 。 本 文档 需要 支持 手动 、 自 动 两 种 分 配方 式 。 
已 为 自动 密 钥 管理 定义 了 一 个 特殊 的 基于 公共 密 钥 的 方法 IGKE-[MSST97，Orm97，HC98])， 
但 其 他 自动 密 钥 分 配 技术 也 可 以 使 用 。 
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2. IPSec 实现 方式 


在 主机 上 或 路 由 器 、 防 火 墙 (创建 安全 网 关 ) 的 连接 处 ，IPSec 可 以 有 几 种 实现 方式 。 下 面 
提供 几 个 常用 的 例子 。 

1) IPSec 完全 舱 入 原 有 的 瑟 层 实现 

这 种 方式 涉及 了 Pp 源码， 并 且 对 主机 和 网 关 都 要 适用 的 情况 下 采用 。 

2) “Bump-in-the-stack”(BITS) 实 现 

IPSec 实现 于 原 有 卫 协议 栈 的 下 部 , 处 于 原 有 的 和 网 络 设备 之 间 。 在 这 种 情况 下 并 不 
需要 涉及 了 P 协议 栈 的 源码 ， 所 以 该 实现 方法 适用 于 遗留 系统 ， 大 多 在 主机 上 采用 。 

3) 采用 外 接 加 密 处 理 设 备 是 军 方 、 金 融 系 统 常用 的 网 络 安全 系统 设计 方案 

这 种 方式 有 时 被 称 为 “Bump-in-the-wire”(BITW) 实 现 。 这 种 设计 方案 用 于 服务 主机 或 
者 网 关 , 或 者 两 者 兼 有 。 通常 这 种 BITW 设备 是 可 以 设 定 卫 地 址 的 ， 当 它 只 支持 一 个 单独 的 
主机 的 时 候 ， 就 和 BITS 方案 十 分 相似 。 但 是 作为 一 个 支持 路 由 器 或 防火 墙 时 ， 它 必须 实现 
同一 个 网 关 一 样 的 功能 并 进行 相应 的 操作 。 

3. 安全 连接 (Security Association) 


安全 连接 的 概念 是 IPSec 的 基础 , 是 基于 IPv4 和 IPv6 环境 下 实现 AH、ESP 对 安全 连接 
管理 的 需求 。AH 和 ESP 都 使 用 了 SAs，IKE 的 主要 功能 是 建立 和 维护 安全 连接 。 所 有 AH 
和 ESP 的 实现 都 必须 支持 下 面 描述 的 安全 连接 的 概念 。 接 下 来 将 描述 安全 连接 管理 的 各 个 方 
面 ， 定 义 SA 策略 管理 、 传 输 处 理 、SA 管理 技术 所 需 的 特性 。 

1) SA 的 定义 和 范围 

安全 连接 (SA) 是 一 个 单 向 “连接 ”， 它 为 通过 它 的 传输 提供 安全 服务 。SA 通过 AH 或 
ESP 但 不 是 两 者 同时 使 用 而 提供 安全 服务 。 如 果 AH 和 ESP 同时 用 于 传输 流 的 保护 ， 那 么 应 
该 创建 两 个 或 多 个 SA 为 传输 流 提供 保护 。 通 常 为 了 安全 ， 两 台 主机 间 、 两 个 安全 网 关 间或 
两 个 安全 连接 间 ( 每 个 方向 一 个 ) 都 需要 双向 通讯 。 

安全 连接 由 三 个 部 分 内 容 唯 一 标识 一 一 安全 参数 索引 (SPD、 了 人 P 目的 地 址 、 安 全 协议 (AH 
和 ESP) 标 识 符 。 原 则 上 ， 目 的 地 址 可 以 是 一 个 点 播 地 址 、 卫 广播 地 址 或 多 播 组 地 址 。 然 而 ， 
当前 IPSec SA 管理 机 制 只 为 点 播 SAs 作 了 定义 。 因 此 , 在 接 下 来 的 讨论 中 ，SAs 将 只 描述 点 
到 点 通讯 的 内 容 ， 即 使 这 一 概念 也 可 以 适用 点 到 多 的 情况 。 

如 上 所 述 我 们 定义 了 两 种 类 型 的 SAs: 传输 模式 、 隧 道 模式 。 

传输 模式 SA 是 两 台 主机 间 的 安全 连接 。 在 IPv4 环境 中 , 传输 模式 安全 协议 头 紧 接 在 人 Pp 
头 和 任何 选项 之 后 ， 在 任何 更 高 层 协议 之 前 (例如 TCP 或 UDP)。 在 耻 v6 环境 中 ， 安 全 协议 
头 出 现在 基本 了 正 头 和 扩展 之 后 , 但 也 许 出 现在 目的 选项 的 前 或 后 ， 并 在 更 高 层 协议 之 前 。 在 
采用 ESP 时 ， 传 输 模式 SA 仅 为 更 高 层 协议 安全 服务 提供 ， 而 不 为 下 头 或 任何 ESP 头 以 前 
的 扩展 头 提 供 服务 。 在 采用 AH 时 ， 这 种 保护 也 被 扩展 到 正 头 的 可 选 部 分 、 扩 展 头 的 可 选 部 
分 和 可 选项 (包括 IPv4 头 、IPv6 Hop-by-Hop 扩展 头 或 IPv6 目的 扩展 头 )。 为 了 解 更 多 关于 AH 
给 予 的 有 效 区 域 ， 请 参看 AH 规范 。 

隧道 模式 SA 必然 是 运用 于 中 隧道 的 SA。 只 要 安全 连接 的 任意 一 端 是 安全 网 关 ， SA 就 
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必须 是 隧道 模式 。 因 此 两 个 安全 网 关 之 间 总 是 隧道 模式 ， 同 样 主机 和 安全 网 关 间 也 必然 是 隧 
道 模式 。 注 意 在 传输 指向 安全 网 关 的 情况 下 ， 例 如 SNMP 命令 ， 安 全 网 关 是 作为 主机 提供 服 
务 的 ， 因 而 传输 模式 是 被 允许 的 。 但 在 这 种 情况 下 ， 安 全 网 关 不 再 扮演 网 关 的 角色 ， 例 如 它 
不 再 转发 传输 流 。 两 个 主机 间 也 可 以 建立 隧道 模式 SA。 由 于 为 了 避免 IPSec 包 分 段 、 重 组 时 
出 现 的 潜在 问题 以 及 这 一 环境 中 安全 网 关 后 同一 目的 地 存在 多 重 到 达 路 径 ( 例 如 通过 不 同 的 
安全 网 关 )， 对 于 任意 (转发 传输 流 )SA 包括 安全 网 关 都 应 该 可 以 支持 隧道 模式 。 

对 于 隧道 模式 SA， 有 外 部 (outeDIP 头 、 内 部 (inneDIP 头 。 外 部 也 头 定义 了 IPSec 处 理 
的 目的 地 ， 内 部 下 头 定义 了 包 最 终 地 址 。 安 全 协议 头 出 现在 外 部 中 头 后 内 部 卫 头 前 。 如 果 
在 隧道 模式 中 使 用 AH,， 外 部 全 头 的 部 分 将 受到 保护 。 同 样 所 有 隧道 化 (tunneled)IP 包 也 受到 
保护 ( 即 所 有 内 部 也 头 、 更 高 层 协议 受到 保护 )。 如 果 使 用 ESP， 则 仅 对 隧道 化 的 包 给 予 保护 
而 不 保护 外 部 头 。 总 而 言 之 : 

e 主机 必须 支持 传输 模式 和 隧道 模式 。 

e 安全 网 关 仅 需要 支持 隧道 模式 即 可 。 如 果 它 支持 传输 模式 ， 仅 当 安 全 网 关 作为 主机 

时 使 用 ， 例 如 作为 网 络 管理 。 

2) 安全 连接 的 功能 性 
由 SA 提供 的 安全 服务 集 依 赖 于 安全 协议 的 选择 、SA 模式 、SA 端点 以 及 在 协议 范围 内 
可 选 服务 的 选择 。 例 如 ，AH 提供 数据 源 认证 和 下 数据 报 无 连接 的 完整 性 验证 (以 后 均 称 为 认 
证 )。 准 确 地 讲 ， 认 证 服务 是 使 用 AH 的 安全 连接 粒度 的 功能 。 这 将 在 4.4.2 节 讨论 一 一 选择 符 。 

对 于 分 离 的 接收 者 ,AH 提供 抗 重播 (部 分 序列 完整 性 ) 服 务 以 防范 拒绝 服务 的 攻击 。 当 不 
需要 保密 (或 不 允许 ， 例 如 政府 限制 加 密 的 使 用 ) 时 ， 使 用 AH 协议 是 适合 的 。AH 也 为 全 头 
可 选 部 分 提供 认证 。 这 在 某 些 情况 下 是 有 必要 的 。 例 如 , 如 果 在 收发 双方 间 , IPv4 选项 或 IPv6 
扩展 头 的 完整 性 必须 被 保护 到 路 由 时 ，AH 能 提供 这 种 服务 (除了 下 头 不 可 预料 的 、 易 变 的 
部 分 )。 

ESP 可 以 有 选择 地 为 传输 提供 保密 。 保 密 服务 的 长 度 部 分 依赖 于 所 使 用 的 加 密 算法 。ESP 
也 可 以 有 选择 地 提供 认证 服务 (正如 上 面 所 定义 的 )。 如果 一 个 ESP SA 认证 经 过 协商 , 接受 方 
也 可 以 选择 具有 和 AH 抗 重播 服务 一 样 特性 的 增强 抗 重播 服务 。 由 ESP 提供 的 认证 范围 比 
AH 所 提供 的 要 窗 。 例 如 ，ESP 头 外 部 的 全 头 就 不 受 保护 。 如 果 仅 上 层 协议 需要 被 认证 ， 则 
最 好 选择 ESP 认证 , 并 且 它 具有 比 使 用 AH 封装 ESP 时 更 高 的 空间 效率 。 要 注意 的 是 尽管 保 
密 和 认证 均 是 可 选 的 ， 但 是 它们 不 能 都 被 省 略 。 它 们 中 至 少 有 一 个 必须 被 选择 。 

如 果 选 择 保密 服务 ， 则 两 个 安全 网 关 间 的 ESP( 隧 道 模式 ) SA 能 提供 局 部 传输 流 保密 。 
隧道 模式 的 使 用 允许 内 部 中 头 倍加 密 ， 隐 藏 (最 终 的 ) 传 输 源 和 目的 的 标识 。 而 且 也 可 能 调用 
ESP 负载 填充 (ESP Payload Padding) 隐 藏 包 的 尺寸 , 甚至 隐藏 传输 的 外 部 特性 。 在 拨号 环境 下 ， 
当 一 个 移动 用 户 被 指定 一 个 动态 他 地 址 并 对 一 个 联合 防火 墙 (Corporate Firewall ) 建 立 一 个 ( 隧 
道 模式 )ESP SA 时 ， 也 可 以 提供 类 似 的 传输 流 保密 服务 。 值 得 注意 的 是 粒度 (Granularity) 较 精 
巧 的 SAs 通常 比 那些 来 自 很 多 用 户 传输 流 粒 度 较 粗糙 的 SAs 更 容易 受到 传输 分 析 。 

3) 安全 连接 的 组 合 

通过 独立 SA 的 卫 数据 报 通过 严密 的 安全 协议 (AH 或 ESP) 受 到 保护 。 对 于 特殊 的 传输 
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流 ， 而 仅 采 用 单一 的 SA 是 不 能 实现 的 。 在 这 种 情况 下 ， 使 用 多 重 SAs 以 实现 安全 策略 是 必 
要 的 。 术 语 “ 安 全 连接 束 ” 或 “SA 束 ” 定 义 为 一 个 SAs 序列 (Sequence)， 传 输 必 须 通过 它 来 
满足 一 个 安全 策略 ， 策 略 定义 了 序列 的 顺序 。 值 得 注意 的 是 由 束 组 成 的 SAs 可 能 终止 于 不 同 
的 端点 。 例 如 ， 一 个 SA 可 以 在 移动 主机 、 网 关 和 另 一 个 网 关 之 间 延展 ， 舱 套 的 SA 可 以 延 
展 到 网 关 后 的 主机 。 

安全 连接 可 以 通过 两 种 方式 组 合成 束 : 传输 邻接 (Transport Adjacency) 和 隧道 兴 代 (Tterated 


Tunneling )。 


传输 邻接 指 的 是 对 同一 个 P 报 文 使 用 多 于 一 个 安全 协议 ， 而 不 采用 隧道 方式 。 这 种 
联合 AH 和 ESP 的 方法 只 允许 一 级 联合 ; 更 多 的 嵌 套 并 不 能 增加 效益 (假设 每 一 个 协 
议 中 使 用 了 足够 强壮 的 算法 )， 因 为 这 一 过 程 仅 被 执行 于 IPsec 最 终 目 的 地 的 他 实例 
处 ， 如 图 9-1 所 示 。 


ost 1 Security Gwy 1 Security Gwy 2 Host2 
Security Association 1(ESP transport) 


Security Association 2(AH transport) 


图 9-1 传输 邻接 示意 医 


隧道 欠 代 指 的 是 一 种 对 安全 协议 的 多 层次 应 用 , 这 一 安全 协议 是 通过 IP 隧道 实现 的 。 
这 种 方法 允许 多 重 琶 代 ， 这 是 因为 每 一 个 隧道 可 能 沿 着 一 路 径 在 不 同 的 IPSec 站 点 
(PSec site) 开 始 、 结 束 。 除 了 那些 能 通过 合适 的 SPD 入 口 被 定义 的 以 外 , 在 中 间 安 全 
网 关 处 对 于 ISAKMP 传输 不 希望 采用 特殊 的 处 理 。 


有 三 种 基本 的 隧道 迭代 情况 ， 仅 情况 后 两 种 情况 需要 支持 。 


对 于 SAs 两 个 端点 都 是 同样 的 一 一 内 部 隧道 和 外 部 隧道 采用 AH 或 ESP， 但 主机 1 
几乎 不 可 能 把 两 个 指定 成 一 样 。 即 AH 的 内 部 不 可 能 是 AH，ESP 的 内 部 不 可 能 是 
ESP， 如 图 9-2 所 示 。 


ost 1 
Secunity Association 2(tunnel) 


图 9-2 ”第 一 种 隧道 欠 代 


对 于 SAs 一 个 端点 是 一 样 的 一 一 内 部 隧道 和 外 部 隧道 采用 AH 或 ESP, 如 图 9-3 所 示 。 
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ost 1 Security Gwy 1 Security Gwy 2 Host 2 
Security Association 1(tunnel) 
Security Association 2(tunnel) 


图 9-3 ”第 二 种 隧道 迭代 


e 任意 一 个 端点 都 不 同一 一 内 部 隧道 和 外 部 隧道 采用 AH 或 ESP， 如 图 9-4 所 示 。 


Wy 2 Host 2 


ost 1 Security Gwy 1 Security 
Security Association 1(tunnel) 
Security Association 2(tunnel) 


图 9-4 第 三 种 隧道 迭代 


这 两 种 方式 也 可 以 被 组 合 。 例 如 ， 一 个 SA 束 能 由 一 个 隧道 模式 SA 和 一 个 或 两 个 传输 
模式 SAs 构成 应 用 于 序列 。 值得 注意 的 是 嵌 套 的 隧道 也 能 发 生 在 任何 隧道 源 或 目的 端点 都 不 
相同 的 地 方 。 在 这 种 情况 下 ， 没 有 与 撕 套 隧道 相关 的 带 有 束 的 主机 或 网 关 存在 。 

对 于 传输 模式 SAs， 只 有 一 个 安全 协议 序 是 合适 的 。 

4) 安全 连接 数据 库 

为 保护 人 数据 报 的 完整 性 ，IPSec 协议 使 用 了 散 列 信息 认证 代码 (Hash Message 
Authentication Codes，HMAC)。 为 了 得 到 这 个 “ 散 列 信息 认证 代码 ”，IPSec 使 用 了 像 MD5 
和 SHA 这 样 的 散 列 算法 根据 一 个 密 钥 和 数据 报 的 内 容 来 生成 一 个 “ 散 列 ”。 这 个 “ 散 列 信 
息 认 证 代码 ”包含 在 IPSec 协议 头 并 且 数据 包 接 受 者 可 以 检查 “ 散 列 信息 认证 代码 ”( 当 然 前 
提 是 可 以 访问 密 钥 )。 

为 了 保证 数据 报 的 机 密 性 , IPSec 协议 使 用 对 称 加 密 算法 。 IPSec 标准 需要 NULL 和 DES 
执行 者 。 如 今 经 常 使 用 像 3DES、AES 和 Blowfish 这 样 更 加 强 的 算法 。 

通信 的 双方 为 了 能 够 加 密 和 解密 IPSec 数据 包 ， 它 们 需要 一 种 方法 来 保存 通信 的 密 钥 、 
算法 和 卫 地 址 等 有 关 信 息 。 所 有 这 些 用 来 保护 卫 数据 报 的 参数 保存 在 SA(Security 
Association，SA) 中 。SA 依次 保存 在 SA 数据 库 (Security Association Database，SAD) 中 。 

SA 仅仅 声明 IPSec 支持 保护 通信 。 需 要 定义 另外 的 信息 来 声明 什么 时 候 通 信 需 要 保护 。 

这 些 信息 保存 在 安全 策略 (Security Policy, SP) 中 , 安全 策略 又 依次 保存 在 安全 策略 库 (Security 
Policy Database，SPD) 中 。“ 安 全 策略 ”通常 声明 下 列 参数 。 

e 被 保护 的 数据 包 的 源 地 址 和 目标 地 址 。 在 传输 横 式 下 ， 这 同 SA 的 地 址 相同 。 在 隧道 

模式 下 ， 它 们 可 能 不 一 样 。 
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e 被 保护 的 协议 和 端口 。 一 些 IPSec 执行 者 不 允许 定义 被 保护 的 协议 , 这 种 情况 下 将 保 
护 所 有 涉及 的 卫 地 址 之 间 的 通信 。 

e 用 来 保护 数据 包 的 SA。 

根本 上 ， 安 全 连接 是 一 个 用 来 在 人 PSec 环境 中 增加 安全 策略 的 管理 结构 。 因 此 SA 处 理 
必 不 可 少 的 元 素 是 一 个 下 层 的 安全 策略 数据 库 ， 它 定义 哪些 服务 将 被 提供 给 正 数据 报 , 用 什 
么 方式 把 哪些 服务 提供 给 他 数据 报 。 在 所 有 的 过 程 中 ， 必 须 考虑 SPD。 

SPD 必须 区 分 受 IPSec 保护 的 传输 和 人 允许 通过 IPsec 的 传输 。 这 运用 于 由 发 送 者 使 用 的 
IPSec 保护 和 必须 有 接收 者 参与 的 了 PSec 保护 。 对 于 任何 输出 或 输入 的 数据 报 有 三 种 可 能 的 选 
择 : 丢弃 、 穿 过 IPSec 或 使 用 IPSec。 第 一 种 选择 是 指 根本 不 允许 退出 主机 、 穿 过 安全 网 关 ， 
或 最 终 传递 到 某 一 应 用 程序 。 第 二 种 选择 指 的 是 允许 通过 而 不 用 额外 IPsec 保护 的 传输 。 第 
三 种 选择 指 的 是 需要 IPSec 保护 的 传输 并 且 对 于 这 样 的 传输 SPD 必须 规定 提供 的 安全 服务 ， 
所 使 用 的 协议 、 算 法 等 。 

SPD 包括 策略 的 有 序列 表 。 每 一 个 策略 由 一 个 或 多 个 选择 符 标 识 ， 这 些 选 择 符 定义 了 被 
这 一 策略 包含 的 卫 传输 。 

密 钥 和 加 密 算 法 必须 被 共享 到 所 有 VPN(Virtual Private Network) 双 方 。 特 别 是 交换 密 钥 
给 系统 管理 员 造 成 危险 的 问题 : 在 没有 加 密 的 情况 下 如 何 交换 对 称 的 密 钥 ? 

为 了 解决 这 个 问题 ， 又 发 明了 互联 网 密 钥 交 换 (Intemet Key Exchange，IKE) 协 议 。 这 个 
协议 在 通信 的 第 一 阶段 鉴定 双方 身份 。 在 第 三 阶段 ， 商 议 好 SA 并 且 对 称 密 钥 改变 成 使 用 一 
种 Diffie Hellmann 密 钥 交 换 , 然后 互联 网 密 钥 交换 协议 周期 性 地 改变 密 钥 来 确保 它们 的 机 密 性 。 


9.2.3 ”认证 头 协议 


如 前 文 所 述 ，IPSec 协议 包括 两 个 协议 : 认证 头 协 议 (Authentication Header，AHD 和 安全 
负载 封装 协议 (Encapsulated Security Payload，ESP)， 两 者 都 独立 于 了 王 协 议 。 认 证 头 协议 使 用 
人 PP 协议 51， 封 装 安全 负载 协议 使 用 下 协议 50。 定 义 AH 认证 头 协议 的 标准 是 RFC2402。 

认证 头 协议 保护 人 P 双 数 据 报 的 完整 性 。 为 了 达到 这 一 点 , 认证 头 协 议 计 算 了 一 个 散 列 信 
息 认证 代码 QIMAC) 来 保护 完整 性 。 

如 图 9-5 所 示 ， 认 证 头 共 24 个 字 节 长 。 第 一 个 字 节 是 “下 一 个 头 ” 字 段 ， 这 个 字段 指定 
了 下 边 协 议 的 头 。 在 隧道 模式 下 ， 一 个 完整 的 中 数据 报 被 封装 ， 因 此 这 个 字段 的 值 是 4。 在 
传送 模式 下 , 当 被 封装 的 是 TCP 数据 报时 相应 的 值 是 6。 下 一 个 字 节 指定 了 有 效 负 载 的 长 度 。 
这 个 字段 下 边 是 两 个 保留 字 节 。 再 下 边 两 个 双 节 指定 了 32 位 长 的 安全 参数 索引 (Security 
Parameter Index，SPD。 安 全 参数 索引 指定 了 解 安全 负载 封装 使 用 的 SA。32 位 长 的 序号 防止 
重复 攻击 。 最 后 96 位 保存 了 散 列 信息 认证 代码 QMAC)。 散 列 信 息 认 证 代码 保护 了 数据 包 的 
完整 性 ， 因 为 只 有 双方 知道 可 以 创建 和 检查 散 列 信息 认证 代码 的 密 钥 。 
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图 9-5 AH 数据 格式 


9.2.4 ”安全 负载 封装 协议 

定义 安全 负载 封装 协议 (Encapsulated Security Payload，ESP) 的 标准 是 RFC2406。 

安全 负载 封装 协议 既 可 以 使 用 散 列 信息 认证 代码 来 确保 数据 包 的 完整 性 ， 又 可 以 使 用 加 
密 算 法 保证 机 密 性 。 在 加 密 数 据 包 并 计算 出 散 列 信息 认证 代码 后 ， 生 成 安全 负载 封装 头 并 加 
入 数据 包 。 安 全 负载 封装 头 包括 两 部 分 ， 如 图 9-6 所 示 。 


图 9-6 ESP 数据 格式 


安全 负载 封装 头 的 第 一 个 双 字 字段 指定 了 安全 参数 索引 (SPD， 这 个 “索引 ”指定 了 解 安 
全 负载 封装 数据 包 用 到 的 “SA”。 下 一 个 双 字 字段 保存 序号 ， 序 号 被 用 来 预防 重复 攻击 。 第 
三 个 双 字 字段 指定 了 加 密 程序 使 用 的 初始 向 量 (nitialization Vector，IV)。 不 使 用 初始 向 量 对 
称 加 密 算法 可 能 被 多 次 攻击 。 初 始 向 量 可 以 确保 两 个 相同 的 负载 被 加 密 成 不 同 的 负载 。 

IPSec 使 用 密码 块 来 进行 加 密 处 理 。 因 此 ， 如 果 负 载 的 长 度 不 是 声 的 整 倍 长 时 可 能 需要 
填补 ， 这 时 需要 增加 填补 长 度 。 下 边 的 两 个 字 节 是 填补 长 度 。 下 一 个 头 字 段 指定 了 下 一 个 头 。 
安全 负载 封装 头 的 最 后 96 位 长 是 散 列 信息 认证 代码 , 用 来 确保 数据 包 的 完整 性 。 这 个 散 列 信 
息 认证 代码 仅仅 统计 数据 包 的 负载 。TP 头 不 包括 在 计算 之 列 。 

因此 ， 使 用 网 络 地 址 转换 不 会 破坏 安全 负载 封装 协议 。 尽 管 如 此 ， 大 多 数 情况 下 网 络 地 
址 转换 不 可 能 与 耻 Sec 结合 。 在 这 种 情况 下 ， 横 越 网 络 地 址 转换 INAT-TravesaD 提 供 了 一 个 解 
决 办 法 一 一 把 安全 负载 封装 数据 包 封 装 到 UDP 数据 包 中 。 
9.2.5 ”因特网 密 钥 交 换 协 议 

因特网 密 钥 交换 协议 0KE ProtocoD 解 决 了 安全 通信 设备 中 的 大 多 数 突 出 问题 : 确认 双方 
并 交换 双 称 密 钥 。 它 创建 SA 并 装 入 SA 数据 库 中 。 因 特 网 密 钥 交换 协议 经 常 需要 一 个 用 户 
空间 守护 进程 并 且 不 在 操作 系统 核心 中 执行 。 因 特 网 密 钥 交 换 协 议 使 用 UDP 的 500 端口 来 
进行 通信 。 
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因特网 密 钥 交换 协议 功能 分 两 个 阶段 。 第 一 阶段 建立 一 个 因特网 SA 密 钥 管理 SA(mnternet 
Security Association Key Management Security Association，ISAKMP SA); 第 二 阶段 ， 因 特 网 
SA 密 钥 管理 SA 用 来 商讨 并 配置 IPSec 的 SA。 

双方 的 第 一 阶段 认证 经 常 使 用 基于 预先 共享 密 钥 (Pre-Shared Keys，PSK)、RSA 密 钥 
(RSA Keys) 和 X.509 证 书 (Racoon 其 至 支持 Kerberos)。 

第 一 阶段 通常 支持 两 种 不 同 的 模式 : 主 模式 和 好 斗 模式 。 两 种 模式 都 鉴别 对 方 并 设置 
ISAKMP SA， 但 好 斗 模式 只 使 用 一 半数 量 的 信息 达到 这 个 目 。 这 是 它 的 缺点 ， 因 为 好 斗 模块 
不 支持 身份 保护 ， 因 此 如 果 与 预 共享 密 钥 一 起 使 用 ， 它 容易 受到 “中 间 人 攻击 ” 
(Man-in-the-middle Attack)。 男 一 方面 ， 这 只 是 好 斗 模 式 的 用 途 ， 因 为 主 模 式 的 内 部 工作 形式 
不 支持 对 未 知 的 一 方 使 用 不 同 的 预 共 享 密 钥 。 好 斗 模式 不 支持 身份 保护 和 用 普通 文字 传送 客 
户 的 身份 ， 因 此 在 认证 发 生前 ， 一 方 知道 另 一 方 ， 并 且 不 同 的 预 共享 密 钥 可 以 被 不 同 的 一 方 
使 用 。 

在 第 二 阶段 ，IKE 协议 交换 SA 建议 (Security Association ProposaD) 并 且 基 于 ISAKMP SA 
商议 的 SA。ISAKMP SA 提供 认证 来 避免 中 间 人 攻击 (Man-in-the-middle Attack)。 第 二 阶段 使 
用 快速 模式 。 


93 TLS 


安全 传输 层 协议 (Transport Layer Security Protocol，TLS) 用 于 在 两 个 通信 应 用 程序 之 间 提 
供 保密 性 和 数据 完整 性 。 

1997 年 ，IETF 基于 SSLv3 协议 发 布 了 TLS(Transport Layer Security)vl 传输 层 安全 协议 
的 草案 。1999 年 ， 正 式 发 布 了 RFC2246。TLSvl 成 为 工业 标准 以 后 ， 不 久 TLSvl 在 因特网 上 
也 得 到 了 广泛 的 应 用 。 除 了 如 S / HTTP、S / MIME、SSL-Telnet、SSL-SMTP 和 SSL-POP3 
等 常用 的 协议 以 外 ， 目 前 许多 电子 商务 和 电子 政务 系统 也 基于 TLS 来 确保 其 安全 性 。 
9.3.1 TLS 概述 

TLS 设计 的 具体 目标 是 解决 两 个 通信 实体 之 间 的 数据 保密 性 和 完整 性 等 ， 总 体 目标 是 为 
了 在 因特网 上 统一 SSL 的 标准 。 因 此 ， 在 协议 构成 方面 ，TLS 几乎 与 SSL 协议 一 样 ， 主 要 
分 为 TLS 记录 协议 与 TLS 握手 协议 。TLS 记录 协议 与 SSL 记录 协议 基本 一 致 ， 字 段 的 内 容 
也 基本 相同 。TLS 记录 协议 也 有 4 种 类 型 的 客户 : 握手 协议 、 警 告 协议 、 改 变 密码 规格 协议 
和 应 用 数据 协议 等 。 为 了 便于 TLS 的 扩展 ，TLS 记录 协议 还 文 持 额 外 的 记录 类 型 。 
9.3.2 TLS 工作 原理 


该 协议 由 两 层 组 成 :TLS 记录 协议 (TLS Record) 和 TLS 握手 协议 (TLS Handshake)。 较 低 
的 层 为 TLS 记录 协议 ， 位 于 某 个 可 靠 的 传输 协议 (例如 TCP) 上 面 。 

TLS 协议 包括 两 个 协议 组 : TLS 记录 协议 和 TLS 握手 协议 , 每 组 具有 很 多 不 同 格式 的 信 
息 。 限 于 篇 幅 ， 在 此 我 们 只 列 出 协议 摘要 但 不 作 具体 解析 ， 具 体内 容 可 参照 协议 相关 文档 。 
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TLS 记录 协议 是 一 种 分 层 协议 。 每 一 层 中 的 信息 可 能 包含 长 度 、 描 述 和 内 容 等 字段 。 记 
录 协 议 支持 信息 传输 、 将 数据 分 段 到 可 处 理 块 、 压 缩 数 据 、 应 用 MAC、 加 密 以 及 传输 结果 
等 。 对 接收 到 的 数据 进行 解密 、 校 验 、 解 压缩 、 重 组 等 ， 然 后 将 它们 传送 到 高 层 客户 机 。 

TLS 连接 状态 指 的 是 TLS 记录 协议 的 操作 环境 ， 它 规定 了 压缩 算法 、 加 密 算法 和 MAC 
算法 。 

TLS 记录 层 从 高 层 接 收 任意 大 小 无 空 块 的 连续 数据 。 密 钥 计算 : 记录 协议 通过 算法 从 握 
手 协议 提供 的 安全 参数 中 产生 密 钥 、IV 和 MAC 密 钥 。TLS 握手 协议 由 三 个 子 协议 组 构成 ， 
允许 对 等 双方 在 记录 层 的 安全 参数 上 达成 一 致 、 自 我 认证 、 例 示 协 商 安 全 参数 、 互 相 报告 出 
错 条 件 。 

TLS 建立 会 话 协商 的 参数 、 握 手 协议 过 程 等 与 SSL 一 致 ， 其 基本 的 工作 流程 分 为 如 下 两 
个 阶段 。 

1. 服务 器 认证 阶段 

(1) 客户 端 向 服务 器 发 送 一 个 开始 信息 “Hello”， 以 便 开 始 一 个 新 的 会 话 连接 。 

(2) 服务 器 根据 客户 的 信息 确定 是 否 需要 生成 新 的 主 密 钥 ， 如 需要 则 服务 器 在 响应 客户 
的 “Hello” 信 息 时 将 包含 生成 主 密 钥 所 需 的 信息 。 

(3) 客户 根据 收 到 的 服务 器 响应 信息 ， 产 生 一 个 主 密 钥 ， 并 用 服务 器 的 公开 密 钥 加 密 后 
传 给 服务 器 。 

(4) 服务 器 恢复 该 主 密 钥 ， 并 返回 给 客户 一 个 用 主 密 钥 认 证 的 信息 ， 以 此 让 客户 认证 服 
务 器 。 

2. 用 户 认 证 阶段 

在 此 之 前 ， 服 务 器 已 经 通过 了 客户 认证 ， 这 一 阶段 主要 完成 对 客户 的 认证 。 经 认证 的 服 
务 器 发 送 一 个 提问 给 客户 ， 客 户 则 返回 (数字 ) 签 名 后 的 提问 和 其 公开 密 钥 ， 从 而 向 服 务 器 提 
供认 证 。 
9.3.3 TLS 的 安全 服务 

TLS 是 在 网 络 传输 层 上 提供 的 一 种 用 于 网 络 实体 之 间 安 全 数据 传输 的 协议 ， 使 用 了 
RSA、DES 等 多 种 加 密 算法 。 向 上 层 应 用 提供 三 种 基本 的 安全 性 服务 ， 每 一 种 都 包含 了 公共 
密 钥 技术 。 

1. 保密 性 

通过 公共 密 钥 和 秘密 密 钥 加 密 的 组 合 实现 ,在 服务 器 和 客户 之 间 的 所 有 通信 都 通过 一 个 
密 钥 和 一 个 协商 好 的 加 密 算法 进行 加 密 。 加 密 方法 的 协商 是 在 握手 期 间 完 成 的 。 

2. 完整 性 

TLS 使 用 秘密 共享 和 Hash 函数 进行 MAC 计算 来 提供 信息 的 完整 性 服务 。 

3. 不 可 抵赖 性 

TLS 以 公共 密 钥 凭证 的 形式 对 身份 进行 编码 ， 在 握手 过 程 中 相互 交换 以 互相 认证 。 
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TLS 记录 协议 提供 的 连接 安全 性 具有 两 个 基本 特性 。 

e@ 私有 : 对 称 加 密 用 以 数据 加 密 (DES、RC4 等 )。 对 称 加 密 所 产生 的 密 钥 对 每 个 连接 都 
是 唯一 的 ， 且 此 密 钥 基 于 男 一 个 协议 (如 握手 协议 ) 协 商 。 

e 可 靠 : 信息 传输 包括 使 用 密 钥 的 MAC 进行 信息 完整 性 检查 希 功 能 ( SHA、 
MD5 等 ) 用 于 MAC 计算 。 


9.3.4 TLS 的 特点 与 不 足 


TLS 用 于 封装 各 种 高 层 协议 。 作 为 这 种 封装 协议 之 一 的 握手 协议 允许 服务 器 与 客户 机 在 
应 用 程序 协议 传输 和 接收 其 第 一 个 数据 字 节 前 彼此 之 间 相互 认证 ,协商 加 密 算法 和 加 密 密 钥 。 
TLS 握手 协议 提供 的 连接 安全 具有 三 个 基本 属性 。 

e 可 以 使 用 非 对 和 和 你 的 或 公共 密 钥 的 密码 术 来 认证 对 等 方 的 身份 。 该 认证 是 可 选 的 ， 但 

至 少 需要 一 个 结 点 方 。 
e 共享 加 密 密 钥 的 协商 是 安全 的 ， 对 偷 穷 者 来 说 ， 协 商 加 密 是 难以 获得 的 。 此 外 经 过 
认证 过 的 连接 不 能 获得 加 密 ， 即 使 是 进入 连接 中 间 的 攻击 者 也 不 能 

e 协商 是 可 靠 的 。 没 有 经 过 通信 方 成 员 的 检测 ， 任 何 攻击 者 都 不 能 修改 通信 协商 。 

TLS 的 最 大 优势 在 于 : TLS 是 独立 于 应 用 协议 。 高 层 协 议 可 以 透明 地 分 布 在 TLS 协议 
上 面 。 然 而 , TLS 标准 并 没有 规定 应 用 程序 如 何在 TLS 上 增加 安全 性 ; 它 把 如 何 启动 TLS 握 
手 协议 以 及 如 何 解释 交换 的 认证 证 书 的 决定 权 留 给 协议 的 设计 者 和 实施 者 来 判断 。 


9.4 ”Kerberos 协议 


Kerberos 协议 主要 用 于 计算 机 网 络 的 身份 认证 (Authentication)， 其 特点 是 用 户 只 需 输入 
一 次 身份 验证 信息 就 可 以 凭借 此 验证 获得 的 票据 (Ticket-Granting Ticket) 访 问 多 个 服务 ， 即 
SSO(Single Sign On)。 由 于 在 每 个 Client 和 Server 之 间 建 立 了 共享 密 钥 ， 使 得 该 协议 具有 相 
当 的 安全 性 。 
9.4.1 ”Kerberos 概述 


Kerberos 是 一 种 网 络 认证 协议 , 其 设计 目标 是 通过 密 钥 系 统 为 客户 机 /服务 器 应 用 程序 提 
供 强大 的 认证 服务 。 该 认证 过 程 的 实现 不 依赖 于 主机 操作 系统 的 认证 ， 无 需 基于 主机 地 址 的 
信任 ， 不 要 求 网 络 上 所 有 主机 的 物理 安全 ， 并 假定 网 络 上 传送 的 数据 包 可 以 被 任意 地 读 取 、 
修改 和 插入 数据 。 在 以 上 情况 下 ，Kerberos 作为 一 种 可 信任 的 第 三 方 认证 服务 ， 是 通过 传统 
的 密码 技术 (如 : 共享 密 钥 ) 执 行 认 证 服务 的 。 


9.4.2 ”Kerberos 工作 原理 


具体 的 认证 过 程 如 下 : 客户 机 向 认证 服务 器 (AS) 发 送 请 求 ， 要 求 得 到 某 服务 器 的 证 书 ， 


。198 。 计算 机 网 络 安全 教程 


然后 AS 的 响应 包含 这 些 用 客户 端 密 钥 加 密 的 证 书 。 证 书 的 构成 为 : 服务 器 “Ticket”; 一 个 
临时 加 密 密 钥 (又 称 为 会 话 密 钥 “Session Key”)。 客 户 机 将 Ticket (包括 用 服务 器 密 钥 加 密 的 
客户 机 身份 和 一 份 会 话 密 钥 的 副本 ) 传 送 到 服务 器 上 。 会 话 密 钥 可 以 ( 现 已 经 由 客户 机 和 服务 
器 共享 ) 用 来 认证 客户 机 或 认证 服务 器 , 也 可 用 来 为 通信 双方 以 后 的 通信 提供 加 密 服务 , 或 通 
过 交换 独立 子 会 话 密 钥 为 通信 双方 提供 进一步 的 通信 加 密 服 务 。 

上 述 认 证 交换 过 程 需要 只 读 方 式 访问 Kerberos 数据 库 。 但 有 时 ， 数据库 中 的 记录 必须 进 
行 修改 ， 如 添加 新 的 规则 或 改变 规则 密 钥 时 。 修 改过 程 通过 客户 机 和 第 三 方 Kerberos 服务 
器 (Kerberos 管理 器 KADM) 间 的 协议 完成 ， 有 关 管 理 协议 在 此 不 作 介绍 。 另 外 也 有 一 种 协议 
用 于 维护 多 份 Kerberos 数据 库 的 拷贝 ， 这 可 以 认为 是 执行 过 程 中 的 细节 问题 ， 并 且 会 不 断 
改变 以 适应 各 种 不 同 的 数据 库 技术 。 

下 面 以 图 示 方 式 简单 说 明 Kerberos 的 相关 原理 。 首 先 , 看 一 下 Kerberos 协议 的 前 提 条 件 ， 
如 图 9-7 所 示 ，Client 与 KDC，KDC 与 Service 在 协议 工作 前 已 经 有 了 各 自 的 共享 密 钥 。 
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图 9-7 Client，KDC，Service 关系 


Kerberos 协议 分 为 两 个 部 分 。 
e@ Client 向 KDC 发 送 自 己 的 身份 信息 ，KDC 从 Ticket Granting Service 得 到 
TGT(Ticket-Granting Ticket)， 并 用 协议 开始 前 的 密 钥 将 TGT 加 密 回 复 给 Client。 
此 时 只 有 真正 的 Client 才能 利用 它 与 KDC 之 间 的 密 钥 将 加 密 后 的 TGT 解密 ， 从 而 获得 
TGT。 此 过 程 避免 了 Client 直接 向 KDC 发送 密码 ， 以 求 通过 验证 的 不 安全 方式 。 
e Client 利用 之 前 获得 的 TGT 向 KDC 请 求 其 他 Service 的 Ticket。 
Kerberos 协议 的 重点 在 于 第 二 部 分 ， 如 图 9-8 所 示 。 
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(1)Ticket request 


(2)Service Ticket 


(4)Validate Ticket 


(3)Send Request 


(5)Send Response 


Client 


图 9-8 ”认证 过 程 


(1) Client 将 之 前 获得 TGT 和 要 请 求 的 服务 信息 (服务 名 等 ) 发 送 给 KDC, KDC 中 的 Ticket 
Granting Service 将 为 Client 和 Service 之 间 生 成 一 个 Session Key， 用 于 Service 对 Client 的 身 
份 鉴别 。 然 后 KDC 将 这 个 Session Key 和 用 户 名 、 用 户 地 址 GP)、 服 务 名 、 有 效 期 、 时 间 戳 
一 起 包装 成 一 个 Ticket( 这 些 信息 最 终 用 于 Service 对 Client 的 身份 鉴别 ) 发 送 给 Service。 

(2) 此 时 KDC 将 刚才 的 Ticket 转发 给 Client。 由 于 这 个 Ticket 是 要 给 Service 的 ， 不 能 
让 Client 看 到 ， 所 以 KDC 用 协议 开始 前 KDC 与 Service 之 间 的 密 钥 将 Ticket 加 密 后 再 发 送 
给 Client。 同 时 为 了 让 Client 和 Service 之 间 共 享 那 个 秘密 (KDC 在 第 一 步 为 它们 创建 的 Session 
Key)，KDC 用 Client 与 它 之 间 的 密 钥 将 Session Key 加 密 ， 然 后 随 加 密 的 Ticket 一 起 返回 给 
Client。 

(3) 为 了 完成 Ticket 的 传递 ，Client 将 刚才 收 到 的 Ticket 转发 到 Service。 由 于 Client 不 
知道 KDC 与 Service 之 间 的 密 钥 ， 所 以 它 无 法 更 改 Ticket 中 的 信息 。 同 时 Client 将 收 到 的 
Session Key 解密 出 来 ,然后 将 自己 的 用 户 名 、 用 户 地 址 (IP) 打 包 成 Authenticator, 然后 用 Session 
Key 加 密 也 发 送 给 Service。 

(4) Service 收 到 Ticket 后 利用 它 与 KDC 之 间 的 密 钥 将 Ticket 中 的 信息 解密 出 来 ， 从 而 
获得 Session Key 和 用 户 名 、 用 户 地 址 4P)、 服 务 名 、 有 效 期 。 然 后 再 用 Session Key 将 
Authenticator 解密 ， 从 而 获得 用 户 名 、 用 户 地 址 QP), 之 后 将 其 与 之 前 Ticket 中 解密 出 来 的 用 
户 名 、 用 户 地 址 (IP) 做 比较 从 而 验证 Client 的 身份 。 

(5) 如 果 Service 有 返回 结果 ， 将 其 返回 给 Client。 


9.4.3 ”Kerberos 的 安全 服务 


从 上 面 描述 的 流程 来 看 ，Kerberos 协议 主要 完成 了 两 件 事 ， 概 括 起 来 就 是 提供 了 如 下 的 
安全 服务 。 

1. 保密 性 

完成 Ticket 的 安全 传递 。 
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2. 完整 性 


完成 了 Session Key 的 安全 发 布 。 再 加 上 时 间 戳 ， 在 很 大 程度 上 保证 了 用 户 鉴别 的 安全 
性 ， 并 且 利 用 了 Session Key， 通 过 鉴别 之 后 Client 和 Service 之 间 传 递 的 消息 也 可 以 获得 一 
定 的 机 密 性 (Confidentiality)、 完 整 性 (Integrity) 的 保障 。 


9.4.4 ”Kerberos 的 特点 与 不 足 


如 前 面 所 介绍 的 ， 由 于 Kerberos 协议 的 消息 无 法 穿 透 防火 墙 ， 因 此 限制 了 该 协议 往往 应 
用 于 一 个 组 织 内 部 ， 这 一 点 使 得 它 的 应 用 范围 受到 一 定 的 局 限 。 

另外 ， 由 于 没有 使 用 非 对 称 密 钥 自 然 也 就 无 法 具有 抗 否 认 性 ， 这 也 限制 了 它 的 应 用 。 不 
过 ， 有 失 必 有 得 。 相 对 而 言 ， 它 比 X.509 PKI 的 身份 鉴别 方式 实施 起 来 要 简单 得 多 。 是 用 实 
施 复杂 程度 降低 换取 性 能 上 的 缺失 ， 还 是 用 复杂 的 实施 方式 获取 更 高 的 安全 性 ， 是 留待 用 户 
自行 决定 的 一 个 问题 。 


9.5 ”SET 协议 


电子 商务 的 关键 是 要 保证 商业 活动 的 安全 性 ， 即 像 传统 方法 一 样 安全 可 靠 。 而 数据 加 密 
技术 则 构成 了 电子 商务 安全 的 基础 ， 可 以 说 ， 没 有 数据 加 密 技术 ， 就 没有 电子 商务 的 安全 。 
电子 商务 主要 有 下 面 一 些 安全 控制 要 求 。 
e 确定 贸易 伙伴 身份 的 真实 性 。 
e 确保 信息 的 保密 性 ， 如 保证 用 户 的 信用 卡号 不 被 鹤 取 ， 保 证 货源 订单 等 信息 不 被 况 
争 对 手 获 悉 等 。 

e 保证 电子 订单 等 信息 的 真实 性 (未 被 冒充 ) 以 及 在 传输 过 程 中 未 被 算 改 。 

e 保证 电子 订单 等 信息 的 不 可 否认 性 ， 即 交易 的 任何 一 方 在 未 经 对 方 同意 的 情况 下 都 
不 能 出 尔 反 尔 。 

e 在 交易 双方 发 生 纠 纷 时 能 得 到 合理 的 仲裁 和 解决 。 

从 上 面 介绍 的 SSL 协议 可 以 看 出 ，SSL 协议 的 基础 是 商家 对 消费 者 信息 保密 的 承诺 ， 
有 利于 商家 而 不 利于 消费 者 。 虽 然 在 SSL 3.0 中 通过 数字 签名 和 数字 证 书 可 实现 双方 的 身份 
验证 ,但 是 SSL 协议 仍 存在 一 些 问 题 ， 在 涉及 多 方 的 电子 交易 中 ，SSL 协议 并 不 能 协调 各 方 
间 的 安全 传输 和 信任 关系 。 在 这 种 情况 下 ，Visa 和 MasterCard 两 大 信用 卡 组 织 制定 了 SET 
协议 ， 为 网 上 信用 卡 支付 提供 了 全 球 性 的 标准 。 


9.5.1 SET 概述 


1996 年 2 月 由 VISA 和 MasterCard 两 大 信用 卡 公司 提出 了 SET(Secure Electronic 
Transaction) 协 议 ， 该 协议 是 在 因特网 环境 中 解决 用 户 、 商 家 和 银行 之 间 通 过 信用 卡 支 付 交 易 
而 设计 的 安全 规范 ， 获 得 了 诸如 Microsoft、IBM 等 许多 大 公司 的 支持 。SET 是 目前 唯一 保证 
信用 卡 信息 能 安全 可 靠 地 通过 因特网 传输 的 新 协议 。 
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SET 是 因特网 电子 交易 中 的 一 组 安全 规范 。 采 用 SET 协议 进行 网 上 交易 支付 时 , 主要 涉 
及 持 卡 人 、 商 家 、 支 付 网 关 、 发 卡 人 、 支 付 者 和 CA 认证 中 心 等 ， 如 图 9-9 所 示 。 

e 持 卡 人 ， 即 消费 者 ， 他 们 通过 Web 浏览 器 或 客户 端 软 件 购物 。 

e 商家 ， 在 Intemet 上 提供 在 线 商店 。 

e 发 卡 人 ， 通 常 为 银行 ， 为 持 卡 人 开设 账户 ， 并 且 发 放 用 于 网 上 支付 的 信用 卡 。 

e 支付 者 ， 通 常 为 银行 ， 为 商家 建立 账户 ， 并 且 处 理 支付 卡 的 认证 和 支付 事务 。 

@ 支付 网 关 ， 实 现 对 支付 信息 从 Intemet 到 银行 内 部 网 络 的 转换 ， 用 来 处 理 商 家 支付 报 

文 和 持 卡 人 的 支付 指令 ， 并 对 商家 和 持 卡 人 进行 身份 认证 。 
认证 机 构 (CA) 为 电子 交易 参与 方 颁 发 证 书 ， 提 供 权威 身份 证 明 。 


持 卡 人 


N 


CA 认证 中 心 


| 司 四 全 
发 卡 机 构 
支付 者 
图 9-9 SET 模型 


9.5.2 SET 工作 过 程 


在 进行 SET 交易 之 前 ， 消 费 者 首先 需要 向 支持 SET 的 银行 申请 开户 ， 获 得 一 个 用 于 网 
上 支付 的 信用 卡 账 户 。 同 时 ， 消 费 者 和 商家 还 必须 从 CA 认证 中 心 那 里 申请 相应 的 和 509 数 
字 证 书 。 此 后 ， 商 家 就 可 以 在 因特网 上 开设 超市 ， 持 卡 人 (消费 者 ) 也 就 可 以 通过 浏览 器 在 因 
特 网 实现 购物 。 具 体 的 步骤 如 下 所 述 。 

1. 订购 商品 


e 持 卡 人 通过 网 上 商店 浏览 商家 的 商品 ， 选 好 后 在 线 支付 ， 向 商家 发 送 初始 请 求 。 
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9.5.3 


商家 接受 请 求 ， 产 生 初 始 应 答 ， 对 初始 应 答 生成 消息 摘要 ， 对 摘要 进行 数字 签名 ， 
然后 将 数字 签名 等 发 送 给 持 卡 人 。 


. 购买 商品 


验证 商家 。 持 卡 人 收 到 商家 的 初始 应 答 ， 验 证 商家 证 书 和 支付 网 关 证 书 ， 并 利用 商 
家 公 钥 验证 消息 摘要 的 数字 签名 ， 证 实数 据 在 途中 未 被 算 改 。 

发 送 订单 。 包 括 发 往 商 家 的 订单 指令 以 及 通过 商家 转发 给 支付 网 关 的 支付 指令 ， 利 
用 双重 签名 将 和 结合 起 来 。 


. 处 理 订单 


商家 接受 持 卡 人 的 购物 请 求 ， 认 证 持 卡 人 的 证 书 ， 验 证 双重 签名 。 
支付 请 求 。 商 家 随机 产生 一 个 对 称 密 钥 为 支付 请 求 加 密 并 签名 ， 利 用 支付 网 关公 和 钥 
加 密 该 对 称 密 钥 形成 数字 信封 ， 然 后 将 信息 一 并 发 往 支 付 网 关 。 


“ 安 付 


支付 网 关 首 先 验证 商家 的 证 书 ， 利 用 自己 的 私 钥 打 开 商 家 数字 信封 ， 获 取 商 家 的 对 
称 密 钥 ， 解 开支 付 请 求 密 文 ， 并 验证 商家 支付 请 求 消息 的 完整 性 。 

支付 网 关 验 证 持 卡 人 的 证 书 ， 利 用 私 钥 打开 持 卡 人 的 数字 信封 ， 得 到 持 卡 人 的 账号 
和 对 称 密 钥 ， 还 原 出 支付 指令 ， 然 后 验证 双重 签名 以 及 相关 消息 的 完整 性 等 。 

如 果 所 有 验证 通过 ， 则 生成 相应 的 扣 款 请 求 信息 ， 并 将 该 扣 款 信 息 发 送 给 相应 银行 。 
银行 向 支付 网 关 发 送 扣 款 应 答 。 

支付 网 关 在 接受 银行 的 扣 款 应 答 后， 向 商家 发 送 支 付 应 答 ， 利 用 消息 摘要 、 数 字 签 
名 和 数字 信封 等 技术 确保 支付 应 答 消息 的 安全 性 。 


. 购物 应 答 


商家 接受 并 检查 支付 网 关 的 支付 应 答 (包括 支付 网 关 的 身份 验证 、 消 息 完 整 性 验证 
等 )， 如 无 误 ， 向 持 卡 人 发 送 购物 应 答 。 如 果 交 易 成 功 ， 则 发 货 。 
持 卡 人 接受 购物 应 答 ， 并 对 相关 安全 性 验证 ， 确 认 交 易 成 功 。 


SET 的 安全 功能 


SET 协议 的 安全 措施 十 分 完善 ， 它 把 对 称 密 钥 体 制 和 公开 密 钥 体 制 完美 地 结合 起 来 ， 利 
用 数字 信封 技术 进行 密 钥 的 安全 可 靠 交换 ， 通 过 DES、RSA 等 进行 高 效率 数据 加 密 ， 利 用 数 
字 证 书 、 消 息 摘 要 、 时 间 戳 、 数 字 签 名 和 双重 签名 等 技术 确保 信息 的 完整 性 和 不 可 抵赖 性 等 ， 
具有 安全 性 高 、 密 钥 管理 简便 等 优点 。 

数字 签名 在 SET 协议 中 的 一 个 重要 应 用 就 是 双重 签名 。 在 交易 中 持 卡 人 发 往 银行 的 支付 
指令 是 通过 商家 转发 的 ， 为 了 避免 在 交易 过 程 中 商家 窃取 持 卡 人 的 信用 卡 信息 ， 以 及 避免 银 
行 跟踪 持 卡 人 的 行为 ， 侵 犯 消费 者 隐私 ， 但 同时 又 不 影响 商家 和 银行 对 持 卡 人 所 发 信息 进行 
合理 的 验证 ， 只 有 当 商 家 同意 持 卡 人 的 购买 请 求 后 ， 才 会 让 银行 给 商家 付费 。SET 协议 采用 
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双重 签名 来 解决 这 一 问题 。 

假设 持 卡 人 C(Customer) 从 商家 MGMerchanb 购 买 商品 ,他 不 希望 商家 看 到 他 的 信用 卡 信 
息 ,也 不 希望 银行 (Bank) 看 到 他 有 关 商 品 的 信息 , 于 是 他 采用 双重 签名 , 流程 如 图 9-10 所 示 ， 
具体 说 明 如 下 。 


Sign[H(OP)] 


图 9-10 SET 双重 签名 


首先 C 产生 发 往 M 的 订购 信息 OI 和 发 往 B 的 支付 指令 n， 并 分 别 产生 OI、FI 的 摘要 
H(OD，HCD,， 其 中 摘要 由 一 个 单 向 Hash 函数 产生 。 连接 HOD 和 HCPD 得 到 OP,， 再 生成 OP 
的 摘要 HOP)， 用 C 的 RSA 私 钥 Ke paiv 签 名 HOP)， 得 到 sign[H(OP)]， 称 为 双重 签名 。 

然后 ，C 将 消息 {1OI，HGD，sign[HOOP)]} 发 给 M,， 将 {IPI，H(OD，sign[HOP)]}} 发 给 B。 
在 验证 双重 签名 时 ， 接 受 者 MB 分 别 创建 消息 摘要 ，M 生成 HOD，B 生成 HOPD， 再 分 别 
将 H(COD/HCPD 与 男 一 接收 到 的 摘要 HCPD/H(OD 连 接 :生成 OP 及 其 摘要 HOP)， 接 收 者 MB 
用 C 的 RSA 公 钥 Ke pw 解 开 sign[H(OP)]， 得 到 HCOP)， 比 较 HOP) 与 HCOP) 是 否 相 同 。 如 
果 相 同 ， 则 表示 数据 完整 且 未 被 算 改 。 


9.5.4 SET 与 TLS 协议 的 比较 


SET 与 TLS 同样 提供 了 电子 安全 交易 的 机 制 ， 但 是 运行 方式 有 所 差别 。 

(1) SET 是 一 个 多 方 的 报 文 协议 ， 它 定义 了 银行 、 商 店 和 消费 者 之 间 必 和 需 遵守 的 报 文 规 
范 ;，TLS 只 是 简单 地 在 交易 双方 之 间 建 立 了 安全 连接 。 

(2) TLS 是 面向 连接 的 ， 而 SET 允许 各 方 之 间 的 报 文 交换 不 是 实时 的 。 

(3) SET 报 文 能 够 在 银行 内 部 网 或 者 其 他 网 络 上 传输 ; 而 TLS 之 上 的 交付 系统 只 能 与 
Web 浏览 器 捆绑 在 一 起 工作 。 

(4) SET 的 安全 需求 较 高 ， 因 此 所 有 参与 SET 交易 的 成 员 (消费 者 、 商 店 、 支 付 网 关 等 ) 
都 必须 先 申请 数字 证 书 来 识别 身份 ,并 且 整 个 交易 过 程 都 受到 严密 的 保护 ; 而 在 TLS 中 只 有 
商店 端的 服务 器 需要 认证 ， 客 户 端 认 证 是 可 选 的 ， 同 时 交易 过 程 中 的 安全 范围 只 限于 消费 者 
到 商店 的 信息 交换 。 

(5) SET 交易 ， 除 了 申请 数字 证 书 之 外 ， 还 必须 安装 符合 SET 规范 的 电子 钱包 软件 ， 而 
TLS 交易 不 需要 。 

(6) 由 于 SET 的 成 本 较 高 ， 并 且 引 入 中 国 的 时 间 较 短 ， 目 前 TLS 的 普及 率 仍 较 高 ， 大 约 
有 七 八成 ， 但 是 网 上 交易 的 安全 性 需求 不 断 提高 ， 可 以 预料 SET 将 会 成 为 日 后 市 场 的 主流 。 
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本 章 小 结 


本 章 主 要 介绍 了 网 络 安全 协议 的 基本 知识 ， 包 括 网 络 安全 协议 概述 、IPSec 协议 、TLS 
协议 、Kerberos 协议 、SET 协议 的 相关 内 容 和 工作 原理 ; 从 安全 服务 的 角度 出 发 ， 评 价 了 各 
种 协议 在 相关 应 用 方面 的 优势 和 不 足 ， 并 进行 了 TLS 和 SET 的 比较 。 和 希望 读者 通过 本 章 的 
学 习 能 够 掌握 基础 的 网 络 安全 协议 知识 , 理解 Kerberos、IPSec、SET 协议 的 内 容 和 实施 技术 ， 
能 够 在 实践 中 熟练 运用 上 述 协议 构建 信息 安全 的 企业 应 用 ， 同 时 为 后 面 章节 的 学 习 打 下 坚实 
的 基础 。 


课 后 练习 


一 、 填 空 题 

1. IPSec、NLSP、SwIPe 的 共同 点 是 都 采用 了 ( ) 技 术 。 

2. IPSec 使 用 两 个 不 同 的 协议 ( js A ) 来 确保 通信 的 认证 、 
) 性 和 ( ) 性 。 

3. IKE Protocol 使 用 ( ) 的 端口 ( ) 进 行 通信 。Kerberos 协议 主要 用 于 
计算 机 网 络 的 ( )， 在 ( ) 和 ( ) 之 间 建 立 共 享 密 钥 ， 使 得 该 协议 
有 具有 很 高 的 安全 性 。 

4. TLS 与 SET 的 区 别 体 现在 TLS 是 面向 ( ) 的 ， 而 SET 允许 各 方 之 间 的 报 文 
交换 不 是 实时 的 。 

二 、 选 择 题 

1. IPSec 提供 的 服务 都 基于 ( ， ) 层 ， 所 以 可 以 供 高 层 协议 使 用 ， 例 如 (  ” )。 

A.TCP B.P C. UDP D. ICMP 
2. IPSec 的 AH 协议 提供 ( ””) 服 务 。 
A. 加 密 B. 无 连接 的 完整 性 验证 
C. 数据 源 认证 D. 选择 性 抗 重播 

3. IPSec 的 ESP 协议 提供 ( 。 ”) 服 务 。 
A. 加 密 B. 无 连接 的 完整 性 验证 
C. 数据 源 认证 D. 选择 性 抗 重 播 

4. TLS 协议 由 (  ) 和 ( ”) 两 层 协 议 组 成 。 

A. 记录 协议 B. TCP C. UDP D. 握手 协议 

5. 下 列 功 能 中 ， 属 于 Kerberos 实现 的 是 ( 入 

A.， Session key 安全 发 布 B. 安全 传递 Ticket 


C. 罕 透 防火 墙 D. 不 可 抵赖 性 
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. 什么 是 他 封装 技术 ? 

. 列举 几 种 IPSec 的 实现 方式 ， 并 介绍 其 特点 。 
. 简 述 下 E Protocol 的 工作 原理 。 

. 简 述 Kerberos 的 特点 与 不 足 。 

. SET 与 TLS 协议 有 什么 区 别 ? 


第 10 章 ” 公 钥 基础 设施 一 一 PKI 


公 钥 基础 设施 (Public Key Infrastructure，PKD 是 一 个 用 于 非 对 称 密码 算法 原理 和 技术 实 
现 ， 并 提供 安全 服务 的 具有 通用 性 的 安全 基础 设施 。 用 户 利用 PKI 平 台 提 供 的 安全 服务 进行 
安全 通信 。PKI 是 一 种 遵循 标准 的 密 钥 管 理 平台 ， 能 为 所 有 网 络 应 用 透明 地 提供 采用 加 密 和 
数字 签名 等 密码 服务 所 需要 的 密码 和 证 书 管理 。 


@ 

e PKI 的 组 成 
e PKI 的 功能 
e 信任 模型 

e PKI 相关 标准 


10.1 PKI 概述 


1976 年 第 一 个 正式 的 公共 密 钥 加 密 算法 诞生 ，20 世纪 80 年 代 初 期 出 现 了 非 对 称 密 钥 密 
码 体制 , 即 公 钥 基础 设施 Public Key Infrastructure, PKD。 前 期 的 PKI 一 直 处 于 探索 发 展 阶段 ， 
直到 最 近 十 年 ， 国 际 上 的 PKI 应 用 才 开 始 迅速 发 展 。 

1976 年 , 美国 密码 专家 Diffie 和 Hellman 提出 了 著名 的 D-H 密 钥 体 制 ， 第 一 次 解决 了 不 
依赖 秘密 信道 的 密 钥 分 发 问题 ， 允 许 在 不 安全 的 媒体 上 双方 交换 信息 ， 安 全 地 获取 相同 的 对 
称 加 密 的 密 钥 。1978 年 Kohnfelder 提出 了 Certificate Agency(CA， 认 证 机 构 ) 的 概念 ， 在 CA 
集中 式 管理 的 模式 下 ， 公 钥 以 CA 证 书 的 形式 公布 于 目录 库 ， 私 钥 仍 然 以 秘密 信道 的 方式 分 
发 。1991 年 相继 出 现 了 PGP、PEM, 第 一 次 提出 密 钥 由 个 人 生成 的 分 布 式 体制 ， 以 不 传递 私 
钥 的 方式 避 开 了 秘密 信道 , 进一步 加 强 了 信息 加 密 的 安全 性 。1996 年 出 现 了 SPKI 解决 方案 ， 
PKI 设立 了 CA 认证 中 心 ， 以 第 三 方 证 明 的 方式 ( 即 中 介 Agency) 将 公 钥 和 标识 绑 定 ， 并 创立 
了 层次 化 CA 架构 。 

作为 最 早 提出 PKI 的 国家 ， 美 国 于 1996 年 成 立 了 美国 联邦 PKI 筹 委 会 ， 与 PKI 相关 的 
绝 大 部 分 标准 都 由 美国 制定 。2000 年 6 月 30 日 ， 美 国 总 统 克 林 顿 正式 签署 美国 《全 球 及 全 
国 商业 电子 签名 法 》， 给 予 电子 签名 、 数 字 证 书 以 法 律 上 的 保护 。 美 国联 邦 政府 的 PKI 体系 
建设 形成 了 以 下 信任 层次 的 信任 域 。 
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(1) 策略 批准 机 构 (PAA): 这 是 联邦 PKI 的 根 节点 ， 负 责 批准 二 级 节点 的 安全 策略 。 

(2) 策略 产生 机 构 (PCA): 也 叫 策 略 认证 机 构 ， 是 联邦 PKI 的 二 级 节点 , 定义 下 级 产生 公 
钥 证 书 节点 的 安全 策略 。 

(3) 认证 机 构 (CA): 它 是 联邦 PKI 的 三 级 节点 , 依据 PCA 定义 的 安全 策略 ,为 下 级 用 户 
(可 能 是 下 级 CA) 签 发 和 维护 数字 证 书 、CRL 结构 等 。 

(4) 用 户 : 数字 证 书 及 相应 私有 密 钥 的 持 有 者 ， 用 户 利用 数字 证 书 和 私有 密 钥 进行 数据 
维护 、 身 份 鉴别 等 安全 行为 。 

除了 上 述 层 次 外 ,联邦 PKI 体系 还 包含 一 个 目录 系统 ， 用 于 存放 有 效 证 书 和 已 经 作废 的 
证 书 。 美国 联邦 政府 在 研究 各 联邦 政府 已 建立 的 PKI 体系 的 基础 之 上 ， 为 解决 各 种 不 同 认证 
系统 之 间 的 交叉 认证 问题 ,于 1998 年 提出 了 桥接 CA 的 概念 , 旨 在 解决 不 同 信任 域 之 间 的 信 
息 传 输 问 题 ， 避 免 形 成 信任 孤岛 。 

加 拿 大 在 1993 年 就 已 经 开始 了 政府 PKI 体系 锥 形 的 研究 工作 , 到 2000 年 已 在 PKI 体系 
方面 获得 重要 的 进展 ， 已 建成 的 政府 PKI 体系 为 联邦 政府 与 公众 机 构 、 商 业 机 构 等 进行 电子 
数据 交换 提供 了 信息 安全 的 保障 ， 推 动 了 政府 内 部 管理 电子 化 的 进程 。 

同时 ， 欧 洲 在 PKI 基础 建设 方面 的 成 绩 也 很 显著 。 在 已 经 颁布 的 1993/1999EC 法 规 中 ， 
强调 技术 中 立 、 隐 私 权 保护 、 国 内 与 国外 相互 认证 以 及 无 歧视 等 原则 。 并 于 2000 年 10 月 成 
立 了 欧洲 桥 CA 指导 委员 会 ， 于 2001 年 3 月 23 日 成 立 了 欧洲 桥 CA。 

在 亚洲 ， 韩 国 是 最 早 开发 PKI 体系 的 国家 。 韩 国 的 认证 架构 主要 分 三 个 等 级 : 最 上 一 层 
是 信息 通讯 部 ， 中 间 是 由 信息 通讯 部 设立 的 国家 CA 中 心 ， 最 下 级 是 由 信息 通讯 部 指定 的 下 
一 级 授权 认证 机 构 (LCA)。 日 本 的 PKI 应 用 体系 按 公众 和 私人 两 大 领域 来 划分 ， 主 要 分 为 商 
业 、 政 府 以 及 公众 管理 内 务 、 电 信 、 邮 政 三 大 块 。 

我 国 的 PKI 技术 从 1998 年 开始 起 步 ， 政 府 和 有 关 部 门 近年 来 对 PKI 产业 的 发 展 给 予 了 
高 度 重 视 ，2001 年 PKI 技术 被 列 为 “十 五 ”863 计划 信息 安全 主题 重大 项 目 ， 并 于 同年 10 
月 成 并 了 国家 863 计划 信息 安全 基础 设施 研究 中 心 。 国 家 计 委 也 在 制订 新 的 计划 来 支持 PKI 
产业 的 发 展 ， 在 国家 电子 政务 工程 中 明确 提出 了 要 构建 PKI 体系 。 目 前 ， 全 国 已 经 推动 PKI 
技术 的 研究 与 应 用 。2004 年 8 月 28 日 ， 十 届 全 国人 大 常委 会 第 十 一 次 会 议 表 决 通过 了 《中 
华人 民 共 和 国电 子 签名 法 》， 规 定 电 子 签名 与 手写 签字 或 者 盖 章 具有 同等 的 法 律 效力 。 

自从 1998 年 国内 第 一 家 以 实体 形式 运营 的 上 海 CA 中 心 (SHECA) 成 立 以 来 , PKI 技术 在 
我 国 的 商业 银行 、 政 府 采购 以 及 网 上 购物 中 得 到 了 广泛 应 用 。 目 前 ， 国 内 的 CA 机 构 分 为 区 
域 型 、 行 业 型 、 商 业 型 和 企业 型 四 类 ; 截止 2002 年 底 , 前 三 种 CA 机 构 已 经 有 60 余 家 ，58% 
的 省 市 建立 了 区 域 CA， 部 分 部 委 建 立 了 行业 CA。 其 中 全 国 性 的 CA 行业 中 心 有 中 国 金 融 认 
证 中 心 (CPCA)、 中 国电 信 认 证 中 心 (CTCA) 等 。 区 域 型 CA 有 上 海 CA 中 心 、 广 东 电 子 商 务 认 
证 中 心 等 。 

从 2003 年 1 月 7 日 在 北京 召开 的 中 国 PKI 战略 发 展 与 应 用 研讨 会 开始 ， 我 国 着 手 组 建 
一 个 国家 PKI 协调 管理 委员 会 来 统管 国内 的 PKI 建设 ， 由 它 来 负责 制定 国家 PKI 管理 政策 、 
国家 PKI 体系 发 展 规则 ， 监 督 、 指 导 国 家 电子 政务 PKI 体系 和 国家 公共 PKI 体系 的 建设 、 运 
行 和 应 用 。 
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10.1.1 理论 基础 


本 节 首 先 介绍 一 些 相关 的 基础 理论 ， 包 括 基础 设施 和 安全 基础 设施 的 概念 ， 以 及 密码 学 
的 理论 。 
1. 基础 设施 概述 


基础 设施 就 是 一 个 普 适 性 基础 ， 它 起 着 基本 框架 的 作用 ， 例 如 ， 电 子 通信 网 络 和 电力 供 
应 基础 设施 。 在 电子 通信 网 络 中 ， 局 域 网 和 广域网 可 以 让 企业 内 部 的 计算 机 在 Intranet 上 互 
相交 流 数据 ， 让 个 人 用 户 登 录 Intemet 冲浪 。 这 些 设施 基本 原理 共通 ， 操 作 简便 ， 只 要 遵循 
基本 的 原则 ， 不 同 的 实体 就 可 以 方便 地 使 用 基础 设施 提供 的 服务 。 

作为 基础 设施 ， 需 要 实现 “应 用 支撑 ”的 功能 ， 可 以 让 “应 用 ”正常 工作 。 它 应 该 具有 
以 下 几 种 特性 。 

e 具有 易于 使 用 、 众 所 周知 的 熟悉 的 界面 。 

e 基础 设施 提供 的 服务 可 以 预测 并 且 有 效 。 

e 应 用 设备 无 须 了 解 基础 设施 的 工作 原理 。 

安全 基础 设施 ， 同 样 必须 依照 上 述 的 原理 ， 同 样 必须 提供 基础 服务 ， 也 就 是 说 要 具有 普 
适 性 。 它 为 整个 组 织 提供 的 是 保证 安全 的 基本 框架 ， 并 且 可 以 被 组 织 内 任何 需要 安全 的 应 用 
和 对 象 使 用 。 安 全 基础 设施 的 “介入 点 ”必须 是 统一 的 ， 便 于 使 用 的 (就 像 增 上 的 电源 插座 
一 样 )。 

安全 基础 设施 能 够 保证 应 用 程序 增强 数据 和 资源 的 安全 ， 保 证 增强 与 其 他 数据 和 资源 进 
行 交换 中 的 安全 。 安 全 基础 设施 还 必须 具有 同样 友好 的 接 入 点 ， 应 用 程序 无 须 了 解 基础 设施 
提供 安全 服务 的 原理 ， 只 要 能 够 得 到 服务 就 行 了 。 对 于 安全 基础 设施 来 说 ， 能 够 提供 一 致 有 
效 的 安全 服务 是 最 重要 的 。 

2. 密码 学 理论 


目前 ， 密 码 已 经 从 外 交 和 军事 领域 走向 公开 ， 且 已 经 发 展 成 为 一 门 结合 数学 、 计 算 机 科 
学 、 电 子 与 通信 、 微 电子 等 技术 的 交叉 学 科 。 使 用 密码 技术 不 但 可 以 保证 信息 的 机 密 性 ， 而 
且 可 以 保证 信息 的 完整 性 和 确定 性 ， 防 止 信息 被 算 改 、 伪 造 和 假冒 。 密 码 技术 是 信息 安全 技 
术 的 核心 ， 它 主要 由 密码 编码 技术 和 密码 分 析 技 术 两 个 分 支 组 成 。 

密码 编码 技术 的 主要 任务 是 寻求 产生 安全 性 高 的 有 效 密码 算法 和 协议 ， 以 满足 对 数据 和 
信息 进行 加 密 和 认证 的 要 求 。 密 码 分 析 技 术 的 主要 任务 是 破译 密码 和 伪造 认证 信息 ， 实 现 穷 
取 机 密 信息 或 进行 诈骗 破坏 活动 。 

密码 理论 与 技术 目前 主要 有 两 大 体制 ， 即 公 钥 密码 与 单 钥 密 码 (对 称 密码 )。 其 中 ， 单 钥 
密码 又 可 以 分 为 分 组 密码 和 序列 密码 ，PKI 使 用 的 是 公 角 密码 技术 。 


10.1.2 ”PKI 使 用 的 密码 技术 


1976 年 ，Whitefield Diffie 和 Martin Hellman 发 表 了 论文 “New directions in cryptography” 
这 篇 文章 葛 定 了 公 钥 密码 系统 的 基础 。 公 钥 密 码 系 统 的 概念 在 密码 学 的 发 展 史上 具有 划时代 
的 意义 。 公 钥 密 码 算 法 又 称 为 非 对 称 密 钥 算 法 、 双 钥 密 码 算 法 。 
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目前 有 两 种 类 型 的 公 钥 系统 是 安全 实用 的 ， 即 基于 大 整数 困难 分 解 问题 的 密码 体制 和 基 
于 离散 对 数 困难 的 密码 体制 。 

基于 大 整数 困难 分 解 问题 的 公 钥 密码 体制 有 RSA、Rabin 体制 、LUC 体制 及 其 推广 、 二 
次 剩余 体制 等 。 基 于 离散 对 数 困 难 的 密码 体制 主要 包括 基于 有 限 域 的 乘法 和 群 上 的 离散 对 数 问 
题 的 EIGamal 体制 和 基于 椭圆 曲线 离散 对 数 的 椭圆 曲线 密码 体制 (ECC)， 以 及 近年 来 Lenstra 
等 人 提出 的 XTR 群 的 离散 对 数 问 题 的 XTR 公 钥 体制 。 

纠 错 码 和 密码 学 是 两 门 不 同 的 学 科 ， 但 是 公 钥 密码 体制 思想 是 建立 在 一 个 难 解 的 数学 问 
题 之 上 的 ， 即 NPC 问题 。1978 年 ，Berlekamp 等 人 证 明了 纠 错 码 中 的 一 些 译 码 问题 属于 NPC 
问题 。 这 两 项 成 果 建立 起 纠 错 码 和 密码 学 相 结合 的 理论 基础 。 

有 限 自动 机 公 钥 密码 体制 是 由 我 国学 者 陶 仁 怠 发 明 的 ， 它 的 思想 与 RSA 体制 类 似 。 此 
类 体制 是 基于 分 解 两 个 有 限 自动 机 的 合成 而 构成 的 , 尤其 是 当 其 中 的 一 个 或 两 个 为 非 线性 时 ， 
难度 更 大 。 目 前 已 经 公开 了 该 体制 的 三 个 算法 ， 分 别 为 FAPKCOF、FAPKC1、FAPKC2， 后 
者 比较 复杂 ， 研 究 出 来 以 支持 基于 身份 鉴别 的 操作 。 


10.1.3 “PKI 提供 的 安全 服务 
通常 ， 一 个 完善 的 PKI 基础 设施 提供 的 服务 主要 包括 以 下 几 个 方面 。 
1. 安全 登录 


在 访问 网 络 资源 ， 或 者 使 用 某 些 应 用 程序 的 时 候 ， 用 户 往往 会 被 要 求 首先 “登录 ”或 者 
“注册 ”。 这 一 步骤 中 ， 典 型 的 操作 过 程 包括 用 户 输入 用 户 身 份 的 信息 (如 用 户 ID 或 者 昵称 ) 
以 及 认证 信息 (如 口令 或 其 他 机 密 信息 )。 除 了 合法 用 户 没 人 能 够 获取 用 户 的 认证 信息 ， 采 用 
这 种 方法 能 够 安全 地 允许 合法 用 户 进入 系统 或 者 指定 的 应 用 程序 。 

选用 一 个 符合 安全 规范 的 好 的 口令 ， 并 且 记 住 它 而 不 要 用 笔 写 下 来 ， 而 且 要 经 常 修改 口 
令 , 这 对 一 般 用 户 来 说 不 是 一 件 容易 的 事 , 很 可 能 因为 频繁 更 换 到 后 来 自己 也 不 记得 口令 了 。 
这 正 是 安全 基础 设施 提供 的 服务 之 一 ， 它 可 以 帮助 解决 这 些 问 题 。 

安全 基础 设施 并 不 意味 着 取消 口令 ， 因 为 口令 方式 是 用 户 进入 基础 设施 本 身 的 认证 机 
制 。 安 全 基础 设施 只 是 解决 了 使 用 口令 方式 时 存在 的 一 个 最 严重 问题 ， 它 可 以 避免 口令 在 不 
信任 的 或 不 安全 的 网 络 中 传递 ， 根 本 避免 口令 在 传输 中 被 截获 的 可 能 性 。 

使 用 普 适 性 的 安全 基础 设施 可 以 极 大 地 改善 这 种 状况 。 安 全 基础 设施 能 够 将 一 个 成 功 登 
录 的 结果 安全 地 通知 到 其 他 重要 登录 的 设备 ， 减 少 远程 登录 的 需求 。 

安全 单 点 登录 是 安全 基础 设施 提供 的 一 项 服务 ， 适 用 于 所 有 应 用 程序 和 设备 。 在 任何 时 
候 和 和 地方， 如 果 需 要 使 用 安全 传送 认证 信息 的 机 制 ， 基 础 设施 就 可 以 为 之 提供 : 应 用 程序 在 
必要 时 接 入 基础 设施 ， 从 而 获得 认证 信息 。 这 种 基础 服务 减少 了 用 户 必 须 登 录 的 次 数 。 另 外 ， 
在 安全 性 上 的 另 一 个 好 处 就 是 ， 一 个 设计 良好 的 基础 设施 能 够 保证 用 户 只 需 在 它们 工作 的 机 
器 上 登录 。 所 以 在 某 些 情况 下 ， 口 令 无 须 在 易于 受到 攻击 的 网 络 上 传递 ， 极 大 地 降低 了 口令 
被 镭 听 和 口令 存储 、 重 复 攻 击 的 风险 。 
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2. 终端 用 户 透 明 


用 户 使 用 安全 基础 设施 时 ， 基 础 设施 只 是 一 个 黑 盒 子 ， 用 户 需要 的 是 服务 而 不 是 如 何 提 
供 服务 的 细节 。 换 句 话 说， 对 终端 用 户 而 言 ， 安 全 基础 设施 是 完全 透明 的 ， 这 是 普 适 性 基础 
设施 的 一 个 极其 重要 的 特性 。 

3. 全 面 的 安全 性 


一 个 普 适 性 安全 基础 设施 最 大 的 益处 是 在 整个 环境 中 实施 的 是 单一 的 、 可 信和 的 安全 技术 
(如 公 钥 密码 技术 )， 所 有 它 能 够 提供 跟 设 备 无 关 的 安全 服务 。 它 能 够 保证 数目 不 受 限 制 的 应 
用 程序 、 设 备 和 服务 器 无 颖 地 协调 工作 ， 安 全 地 传输 、 存 储 和 检索 数据 ， 安 全 地 进行 事务 处 
理 ， 安 全 地 访问 服务 器 等 。 这 种 环境 不 仅 极 大 地 简化 了 终端 用 户 使 用 各 种 设备 和 应 用 程序 的 
方式 ， 而 且 简化 了 设备 和 应 用 程序 的 管理 工作 。 

使 基础 设施 达到 全 面 安 全 性 所 采取 的 重要 机 制 之 一 就 是 保证 大 范围 的 组 织 实体 和 设备 
采用 统一 的 方式 使 用 、 理 解 和 处 理 密 钥 。 为 了 解决 Internet 的 安全 问题 ， 世 界 各 国 对 其 进行 
了 多 年 的 研究 ， 初 步 形成 了 一 套 完整 的 Intemet 安全 解决 方案 ， 即 目前 被 广泛 使 用 的 PKI 技 
术 , PKI 技术 采用 证 书 管理 公 钥 , 通过 第 三 方 的 可 信任 机 构 , 即 认证 中 心 (Certificate Authority， 
CA)， 把 用 户 的 公 钥 和 用 户 的 其 他 标识 信息 (如 名 称 ，E-mail、 身 份 证 号 码 等 ) 捆 绑 在 一 起 在 
Intemet 验证 用 户 的 身份 。 采用 建立 在 PKI 基础 上 的 数字 证 书 , 通过 对 要 传输 的 数字 信息 进行 
加 密 和 签名 ， 保 证 信息 传输 的 机 密 性 、 真 实 性 、 完 整 性 和 不 可 否认 性 ， 从 而 保证 信息 的 安全 
传输 。 


10.2 数字 证 书 


公 钥 基础 设施 (Public Key Infrastructure, PKI) 技 术 提 供 了 网 络 环境 下 的 一 个 安全 平台 , 是 
一 种 具有 普 适 性 的 基础 设施 。PKI 与 非 对 称 加 密 算法 密切 相关 ， 同 时 包括 消息 摘要 、 数 字 签 
名 、 加 解密 技术 等 ， 要 支持 这 些 技 术 ， 就 要 用 到 数字 证 书 技术 。 

数字 证 书 就 像 身份 证 、 护 照 等 ， 是 个 人 身份 识别 的 赁 证。 形象 一 些 来 描述 ， 它 是 网 络 上 
的 护照 。 数 字 证 书 技术 涉及 证 书签 发 机 构 (CA)、 注 册 机 构 GRA) 和 终端 用 户 。 
由 于 Intemet 网 络 电子 商务 系统 技术 使 在 网 上 购物 的 顾客 能 够 极其 方便 轻松 地 获得 商家 
和 企业 的 信息 ， 同 时 也 增加 了 对 某 些 敏感 或 有 价值 的 数据 被 滥用 的 风险 。 买 方 和 卖方 都 必须 
对 于 在 因特网 上 进行 的 一 切 金 融 交 易 运 作 都 是 真实 可 靠 的 ， 并 且 要 使 顾客 、 商 家 和 企业 等 交 
易 各 方 都 具有 绝对 的 信心 ,因此 因特网 电子 商务 系统 必须 保证 具有 十 分 可 靠 的 安全 保密 技术 ， 
也 就 是 说 ， 必 须 保 证 网 络 安全 的 四 大 要 素 ， 即 信息 传输 的 保密 性 、 数 据 交换 的 完整 性 、 发 送 
言 息 的 不 可 否认 性 、 交 易 者 身份 的 确定 性 。 

数字 证 书 技术 是 可 以 用 来 证 明 身 份 的 一 种 技术 。 证 书 就 是 计算 机 里 的 一 个 小 小 的 文件 ， 
类 似 身份 证 上 的 信息 ， 把 证 件 所 有 者 的 个 人 信息 (姓名 、 性 别 、 出 生日 期 、 照 片 等 ) 与 证 件 号 
码 捆绑 起 来 。 同 理 ， 数 字 证 书证 明 所 有 者 与 公开 密 钥 的 关系 ， 也 就 是 把 证 书 申请 者 与 生成 的 
公 钥 绑 定 在 一 起 了 。 
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10.2.1 数字 证 书 的 定义 

数字 证 书 就 是 互联 网 通讯 中 标志 通讯 各 方 身份 信息 的 数据 ， 提 供 了 一 种 在 Intermet 上 验 
证 身份 的 方式 ， 它 由 一 个 权威 机 构 : CA 机 构 ， 又 称 为 证 书 授权 (Certificate Authority) 中 心 发 
行 。 数 字 证 书 是 一 个 经 CA 数字 签名 的 包含 密 钥 拥 有 者 信息 以 及 公开 密 钥 的 文件 。 最 简单 的 
证 书包 含 一 个 公开 密 钥 、 名 称 以 及 证 书 授权 中 心 的 数字 签名 。 


10.2.2 ”数字 证 书 的 格式 


目前 数字 证 书 的 格式 通常 有 X.509 证 书 、WTLS 证 书 (WAP)、PGP 证 书 、 属 性 证 书 等 。 
普遍 采用 的 是 X.509 v3 国际 标准 ,内 容 包括 证 书 序列 号 、 证 书 持 有 者 名 称 、 证 书 颁发 者 名 称 、 
证 书 有 效 期 、 公 钥 、 证 书 颁 发 者 的 数字 签名 等 。 

被 大 量 接受 的 X.509 国际 标准 格式 是 由 ITU-T( 国 际 电信 联盟 电信 标准 化 组 织 ) 定 义 的 。 
它 第 一 次 发 布 在 1988 年 ， 被 推荐 作为 X.500 目录 系统 的 一 部 分 。X.509 为 X.500 的 服务 提供 
了 基于 PKI 的 鉴别 。1988 年 发 布 的 X.509 的 第 一 个 版 本 被 称 为 X.509 v1 标准 ， 可 以 认为 是 
一 个 最 早 的 基于 PKI 的 数字 证 书 标准 的 提议 。1993 年 修订 了 X.509， 增 加 了 一 些 用 于 支持 目 
录 访 问 控制 的 内 容 ， 形 成 了 X.509 v2 标准 。 在 1993 年 发 布 了 Intemet 增强 的 私密 电子 邮件 
PEM(Private Enchanced Mail) 的 规范 RFC1422， 包 括 了 使 用 基于 X.509 v1 证 书 的 规范 。 
ISO/IEC/ITU 和 ANSI X9 在 1996 年 6 月 公布 了 X.509 v3 标准 。 

因为 X.509 v3 是 在 XX.509 v2 的 基础 上 增加 了 一 些 证 书 的 扩展 域 以 实现 一 些 新 的 功能 ， 
所 以 首先 介绍 X.509 v2 的 证 书 ， 它 的 格式 包括 如 下 内 容 。 

e@ Version: 证 书 的 版 本 号 。 
Serial number: 证 书 的 序列 号 ， 这 是 一 个 由 证 书 的 发 布 CA 分 配 的 一 个 唯一 值 。 
CA 的 签名 算法 ID: CA 对 证 书签 名 所 用 的 算法 的 标识 符 ， 支 持 RSA 和 DSA。 
CA 的 X.500 名 : 发 布 证 书 的 CA 在 X.500 目录 树 上 的 辨识 名 DN。 
有 效 期 : 用 一 个 起 始 时 间 和 一 个 结束 时 间 来 表示 的 证 书 的 有 效 周期 。 
主体 名 : 证 书 所 有 者 在 X.500 上 的 辨识 名 。 

e 主体 的 公 钥 信息 : 包括 主体 的 公 钥 、 生 成 该 密 钥 的 算法 标识 符 和 相关 信息 。 

e 发 布 者 的 唯一 辨识 符 : 确保 证 书 主体 的 X.500 辨识 名 的 一 个 比特 串 ， 是 可 选 域 。 

e 证 书 主体 的 唯一 辨识 符 : 确保 证 书 主体 的 X.500 辨识 号 的 一 个 比特 串 ， 是 可 选 域 。 

e@ Signature: 签名 ， 由 CA 私 钥 加 密 的 其 他 字段 的 哈 希 值 、 签 名 算法 标志 及 参数 。 

人 们 在 应 用 中 发 现 了 v2 的 一 些 缺 陷 ， 无 法 满足 设计 和 实施 中 的 需要 ， 标 准 的 开发 人 员 
为 v3 定义 了 一 些 可 选 的 扩展 域 ， 重 要 的 一 些 扩展 域内 容 如 下 。 

e Certificate policies and policy mapping: 证 书 策略 和 策略 映射 。 

e@ Subjectalternative name and issue altemative name: 主体 备 选 名 和 发 布 者 备 选 名 。 

e@ Subject directory atrributes: 主体 目录 属性 。 

e@ Basic constraints and name constraints: 基本 约束 和 名 字 约 束 ， 只 出 现在 CA 中 。 

e@ Authority key identifier， 授 权 密 钥 标识 符 。 

e@ Key usage: 密 钥 用 途 。 
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10.2.3 ”数字 证 书 的 生命 周期 


要 理解 证 书 的 生命 周期 ， 我 们 可 以 回顾 一 下 早期 的 护照 申请 ， 看 一 下 护照 颁发 的 请 求 是 
如 何 进行 的 。 

在 国际 上 绝 大 多 数 国家 中 ， 申 请 护照 时 ， 用 来 确认 申请 人 身份 的 过 程 通常 有 下 述 几 步 : 
GD 填写 注册 表格 ; @ 提 供 几 个 附加 的 证 明文 件 ; @ 提 供 几 张 近 照 ; @ 由 一 名 专业 人 士 做 证 人 ; 
@@ 遵 守 秩 序 地 等 候 3 小 时 ，@ 申 请 时 必须 亲自 到 场 ，@ 必 须 为 身份 验证 和 证 书 或 者 护照 的 制 
作 交 付 手 续费 ，@@ 几 个 星期 之 后 正式 颁发 护照 ，@ 经 过 若干 年 ， 护 照 过 期 ， 需 要 重新 申请 。 
幸运 的 是 ， 重 新 申请 护照 的 过 程 相对 而 言 比较 方便 和 快捷 ， 这 归功 于 一 个 原因 ， 那 就 是 旧 护 
照 在 重新 申请 护照 时 候 仍然 有 效 。 因 为 已 经 有 一 个 证 明 可 以 确定 申请 人 的 可 信 身份 ， 所 以 仅 
需要 重新 验证 一 小 部 分 资料 就 可 以 确保 申请 护照 的 人 依然 是 旧 护 照 持 有 者 。 

上 述 这 个 过 程 与 申请 一 个 数字 证 书 需 要 的 过 程 极为 相似 。 用 户 与 证 书 机 构 (Certificate 
Authority，CA) 的 交互 是 从 注册 机 构 (Registration Authority，RA) 提 供 的 用 户 交 互 界面 开始 的 。 

从 证 书 的 注册 开始 ， 需 要 创建 公 / 私 密 钥 对 ， 并 将 它们 关联 到 用 于 确认 某 个 最 终 实 体 身 份 
的 证 书 上 。 作 为 向 CA 注册 和 申请 证 书 的 过 程 的 一 部 分 ， 该 密 钥 对 连同 其 他 一 些 标识 信息 一 
起 被 提交 给 CA。CA 在 核实 申请 者 身份 之 后 ， 确 认 无 误 ， 方 可 颁发 证 书 。 

颁发 的 证 书 的 生命 期 是 有 限 的 。 如 果 到 了 截止 日 期 ， 该 证 书 无 效 ， 必 须 重新 颁发 一 个 证 
书 。 密 钥 有 一 个 平均 的 使 用 寿命 ， 在 安全 有 效 期 内 ， 证 书 和 密 钥 都 必须 定期 更 新 。 

在 某 些 情况 下 ， 发 布 最 终 实体 证 书 的 CA 可 能 需要 报废 该 证 书 。 在 这 种 情况 下 ， 该 证 书 
应 该 被 撤销 ， 而 该 CA 需要 公布 这 一 撤销 信息 。 

在 数字 证 书 的 生命 周期 内 ， 证 书 管理 器 处 理应 用 于 证 书 的 操作 集合 ， 在 完成 注册 过 程 之 
后 ，CA 必须 对 证 书 负责 。 证 书 管理 包括 以 下 过 程 : 证 书 注册 、 证 书 更 新 、 证 书 撤销 。 

1. 证 书 注册 

与 上 述 的 申请 护照 的 过 程 类 似 ， 数 字 证 书 的 注册 由 申请 人 提交 申请 开始 ， 并 附 上 证 书 所 
要 求 的 各 种 证 明和 信息 ， 经 过 证 书 注册 机 构 的 验证 校 验 ， 确 认 申 请 者 的 身份 合法 之 后 ， 方 可 
完成 注册 过 程 。 

2. 证 书 更 新 


证 书 在 安全 的 有 效 期 过 期 之 前 或 者 是 由 于 某 些 不 可 预料 的 原因 需要 更 新 。 一 方面 ， 由 于 
安全 措施 上 的 疏忽 或 者 软件 出 现 的 问题 导致 密 钥 泄露 ， 另 一 方面 ， 证 书 拥有 者 也 许 离开 了 颁 
发 证 书 的 部 门 单位 ， 而 之 前 所 颁发 的 证 书 将 用 户 与 该 部 门 单位 联系 在 一 起 ， 所 以 这 时 候 必 须 
更 新 证 书信 息 ， 使 之 前 的 证 书 和 身份 无 效 。 

3. 证 书 撤销 

大 多 数 情况 下 ，CA 用 来 公布 已 经 更 改 的 证 书 状态 的 机 制 是 一 个 撤销 证 书 列表 。 该 列表 
包括 已 被 撤销 证 书 的 序列 号 与 撤销 日 期 ， 还 有 标识 撤销 原因 的 状态 。 

某 证 书 被 撤销 之 后 ， 通 常会 将 这 一 类 证 书 的 信息 存放 在 一 个 目录 列表 ， 以 供 证 书 验证 时 
参考 。 证 书 用 户 在 验证 证 书 的 同时 也 从 该 目录 中 下 载 了 列表 ， 并 查询 该 列表 以 确认 需要 验证 
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的 证 书 不 在 撤销 列表 之 内 。 
证 书 撤销 的 列表 有 一 个 公布 的 周期 , 该 周期 时 间 由 CA 决定 , 可 以 是 一 天 或 者 一 个 星期 ， 
这 依赖 于 认证 操作 管理 的 规范 定义 的 策略 。 更 新 该 列表 的 频率 ， 对 于 证 书 使 用 者 可 以 寄予 证 


书 多 高 的 信任 级 别 有 直 接 关系 。 
10.2.4 ”使 用 Java 工具 生成 数字 证 书 


与 前 面 的 密码 学 章节 里 介绍 的 Java 对 各 种 密码 算法 和 数字 签名 的 支持 一 样 ，JDK 1.4 加 
入 了 对 X.509 数字 证 书 标准 的 支持 ， 并 将 密 钥 库 作为 密 钥 和 证 书 的 资源 库 。 从 物理 上 讲 ， 密 
钥 库 是 缺 省 名 称 为 .keystore 的 文件 。 通 过 一 个 别名 来 区 分 密 钥 和 证 书 ， 每 个 别名 都 由 一 个 唯 
一 的 密码 保护 。 密 钥 库 本 身 也 受到 密码 保护 。Java 平台 用 KeyTool 来 操作 密 钥 库 ， 这 个 工具 
提供 了 许多 的 选项 ， 主 要 有 生成 密 钥 和 证 书 、 查 看 密 钥 库 、 导 出 密 钥 和 证 书 、 导 入 证 书 等 。 
同时 JDK 1.4 以 上 版 本 提供 了 对 证 书库 、 证 书 、 吊 销 列表 操作 的 类 和 方法 ， 主 要 有 KeyStore 
类 、X509 Certificate 类 、X509CRL 类 ， 这 里 我 们 通过 一 个 实例 做 一 个 简单 介绍 。 

在 实际 应 用 中 , 常常 需要 获取 证 书 相关 信息 ， 如 证 书 版 本 、 证 书 序列 号 、 证 书生 效 日 期 、 
证 书 失效 日 期 、 证 书 拥有 者 、 证 书 颁 发 者 、 证 书 DER 编码 数据 等 。 

1. 流程 分 析 


实现 以 上 功能 的 编程 实现 的 步骤 如 下 。 
(1) 读 取证 书 内 容 ， 创 建 证 书 对 象 。 


DE, 


/ 读 取 证 书 文件 

InputStream inStream = new fileInputStream('Justm.cer 7); 
/创建 X509 类 

certificateFactory cf = certificateFactory.getInstance(X.509”); 
/创建 证 书 对 象 


X509certificate oCert = (X509Certificate) cf.generateCertificate(inStream); 
(2) 获取 证 书 版 本 。 

oCert.getVersion(); 
(3) 获得 证 书 序列 号 。 

oCert.getSerialNumber(); 
(4) 获取 证 书 有 效 期 。 


oCert.getNotBefore(); 
OCert.getNotAfterO; 


(5) 获取 证 书 主题 信息 、 颁 发 者 信息 。 


oCert.getSubjectDNO.getNameO; 
OCert.getIssuerDN().getName(); 
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(6) 获取 证 书 der 编码 数据 。 


Byte [] tbsCertificate = oCert.getTBSCertificate(); 


读 取证 书 内 容 ， 创 建 对 象 


| 


根据 实际 需要 读 取 各 种 属性 


图 10-1 Java 数字 证 书 处 理 流程 


其 流程 图 如 图 10-1 所 示 。 


2. 实例 实现 


这 里 ， 以 解析 证 书 为 例 ， 进 一 步 了 解 该 系列 函数 的 用 法 。 程 序 的 功能 是 调用 Java 安全 
API 系列 函数 解析 Justin.cer 文件 ， 获 取 相 关 信息 。 接 下 来 以 Windows XP 平台 、JDK 1.4 为 
例 来 介绍 。 

(1) 利用 记事 本 或 者 其 他 编辑 工具 或 编程 工具 新 建文 件 “tCertjava”。 

(2) 在 tCert.java 中 ， 添 加 以 下 代码 。 


族 首 先 加 载 Java 安全 API 的 相关 类 库 , 从 磁盘 中 读 取 证 书 文件 Justin.cer, 然后 用 上 一 节 介 绍 的 相关 
函数 ， 创 建 X509 类 及 证 书 对 象 ， 从 对 和 象 中 获取 证 书 版 本 、 证 书 序列 号 、 证 书 有 效 期 、 证 书 拥 有 者 、 颁 
发 者 的 信息 、 证 书签 名 所 用 的 算法 及 证 书签 名 值 和 DER 编码 数据 ， 将 这 些 信息 打印 输出 。*/ 

// 加 载 相关 的 Java 安全 API 

import java.security.*: 

import javax.crypto.*: 

import java.10.*: 

import java.security.cert.*: 

Import Java.text.stimpleDateFormat: 

import Java.util.*: 


public class tCert 
四 
public static void main(String[] args) 
{ 
// 主 程序 调用 showCertInfo 函数 
showCertInfoO; 
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public static void showCertImnfo0 


{ 


ty{ 


// 读 取证 书 文件 

InputStream inStream = new fileInputStream(“Justin.cer””); 
// 创 建 X509 类 

certificateFactory cf = certificateFactory.getInstance(“X.509”); 
// 创 建 证 书 对 象 

X509certificate oCert = (X509Certificate) cf.generateCertificate(inStream); 
inStream.close(); 

SimpledateFormat dateformat = new SimpleDateFormat(‘yyyy/MM/dd””); 
String info = null; 

/获取 证 书 版 本 

info = String.valueOf(oCert.getVersion()); 
System.out.println(“ 证 书 版 本 : ”+info); 

/获取 证 书 序列 号 

info oCert.getSerialNumber().toString(16); 

System.out printtn(“ 证 书 序列 号 : ”+info); 

// 获 取证 书 有 效 期 

Date beforedate = oCert.getNotBefore(); 

Info = dateformat.format(beforedate); 
System.out.println(“ 证 书生 效 日 期 ”+info); 

Date afterdate = oCert.getNotAfter(O; 

Info = dateformat.format(afterdate); 

System.out.println(“ 证 书 失效 日 期 : ”+info); 

/获取 证 书 主体 信息 

info = oCert.getSubjectDNO.getName0); 
System.out.println(“ 证 书 拥有 者 : ”+info); 

// 获 取证 书 颁发 者 信息 

info = oCert.getIssuerDNO.getName(); 

System.out.println(“ 证 书 颁发 者 : ”+info); 

/获取 证 书签 名 算法 名 称 

Info = oCert.getSigaleName(); 

System.out.println(“ 证 书签 名 算法 : ”+info); 
System.out.println(“ 签 名 值 : ”); 

byte[] sign = oCert.getSignature0; // 获 取证 书签 名 值 
PrintHex(sign, signlengtb; /打印 输出 证 书签 名 值 

/获取 证 书 der 编码 数据 

byte[] tbsCertificate = oCert.getITBSCertificateO; 
System.out.printIn(“ 证 书 DER 编码 数据 : ”); 
PimtHex(tbsCertificate, tbsCertificate.length); // 打 印 输出 证 书 DER 编码 数据 


catch (Exception e) 


{ 
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System.out printn( 解析 证 书 出 错 ! ”); 
} 
WH/end showCertInfo 


public static void PrintHex(byte data[], int lent) 
{ 
intI; 
int tmp; 
String Tmp=“” ; 
for (i=0;i<len;it+) { 
ifG%16 一 0) 
1 
System.outprintln( 7); 
//0x0000 
if(i<0x10) 
Tmp = “0x000”; 
If ((i<0x100) && (1<0x1000)) 
Tmp = “0x0”; 
if(i>=0x1000) 
Tmp = “0x”; 
System.out.print(Tmp + Integer.toHexString(i)+ “h:””); 
} 
tmp = datal[i]; 
if (tmp <0) 
tmp = 256+tmp; 
if (tmp < Ox10) 
System.out.print(“‘0”+Integer.toHexString(tmp)+ “°); 
else 
System.out.print(Integer.toHexString(tmp) +°™); 
} 
System.out.println(®™’); 
} 


10.3 ”PKI 的 组 成 


PKI 是 一 种 遵循 既定 标准 的 密 钥 管理 平台 ， 简 单 来 说 ，PKI 就 是 利用 公 钥 理论 和 技术 建 
立 的 提供 安全 服务 的 基础 设施 。 一 个 完整 的 PKI 系统 必须 具有 权威 认证 机 构 (CA)、 数 字 证 书 
库 、 密 钥 备 份 及 恢复 系统 、 证 书 作 废 系统 、 应 用 接口 (APD 等 基本 构成 部 分 。 
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10.3.1 概述 


PKI 能 够 为 所 有 网 络 应 用 ， 透 明 地 提供 采用 加 密 和 数字 签名 等 密码 服务 所 必需 的 密 钥 和 
证 书 管理 。PKI 必须 具有 认证 中 心 (CA)、 证 书库 、 密 钥 备 份 及 恢复 系统 、 证 书 废止 处 理 系统 、 
客户 端 证 书 处 理 系统 等 基本 成 分 ， 构 建 PKI 也 将 围绕 这 五 大 系统 来 进行 。 


10.3.2 PKI 认证 机 构 


CA 是 证 书 的 认证 机 构 ， 是 PKI 的 核心 。 众 所 周知 ， 构 建 密码 服务 系统 的 核心 内 容 是 如 
何 实现 密 钥 管理 。 公 钥 体 制 涉及 一 对 密 钥 ， 即 私 铀 和 公 钥 ， 私 钥 只 由 持 有 者 秘密 掌握 ， 无 需 
在 网 上 传送 ， 而 公 钥 是 公开 的 ， 需 要 在 网 上 传送 。 因 此 公 钥 体制 的 管理 ， 主 要 是 公 钥 的 管理 
问题 ， 目 前 较 好 的 解决 方案 是 引进 证 书 机 制 。 

在 公 钥 体制 环境 中 ， 必 须 有 一 个 权威 的 、 公 正 的 、 可 信赖 的 第 三 方 机 构 来 对 任何 一 个 主 
体 的 公 钥 进 行 公 证 ， 证 明 主 体 的 身份 以 及 他 与 公 钥 的 匹配 关系 。CA 正 是 这 样 的 机 构 ， 它 的 
职责 归纳 起 来 有 以 下 几 个 。 

e 验证 并 标识 证 书 申请 者 的 身份 。 
确保 CA 用 于 签名 证 书 的 非 对称 密 钥 的 质量 。 
确保 整个 签证 过 程 的 安全 性 ， 确 保 签 名 私 钥 的 安全 性 。 
证 书 材料 信息 (包括 公 钥 证 书 序列 号 、CA 标识 等 ) 的 管理 。 
确定 并 检查 证 书 的 有 效 期 限 。 
确保 证 书 主体 标识 的 唯一 性 ， 防 止 重 名 ， 发 布 并 维护 作废 证 书 表 。 
对 整个 证 书签 发 过 程 做 日 志 记录 。 
向 申请 人 发 通知 。 

其 中 最 为 重要 的 是 CA 自己 的 密 钥 的 管理 ， 它 必须 确保 其 高 度 的 机 密 性 ， 防 止 他 方 伪造 
证 书 。CA 的 公 钥 在 网 上 公开 ， 整 个 网 络 系统 必须 保证 其 完整 性 。 

通常 ， 证 书 应 该 包括 以 下 主要 内 容 。 

(1) 证 书 的 “用 途 ” 

规定 了 该 证 书 所 公证 的 公 钥 的 用 途 ， 并 且 必 须 按 规定 的 用 途 来 使 用 。 一 般 公 钥 又 有 两 大 
类 用 途 : 一 是 用 于 验证 数字 签名 ; 二 是 用 于 加 密 信息 ， 进 行 数据 加 密 密 钥 的 传递 。 

(2) 签名 密 钥 对 

签名 密 钥 对 由 签名 私 钥 和 验证 公 钥 组 成 。 数 字 签 名 的 密 钥 可 以 有 较 长 的 生命 周期 。 

(3) 加 密 密 钥 对 

加 密 密 钥 对 由 加 密 公 钥 和 解密 私 钥 组 成 。 
10.3.3 ”其 他 组 成 部 分 

为 了 更 完善 地 提供 安全 基础 服务 ， 除 了 CA 外 ， 还 需要 一 个 存储 数字 证 书 的 证 书库 ， 便 
于 统一 管理 证 书 ， 进 行 证 书 的 添加 、 删 除 和 查询 操作 ;为 了 防止 意外 情况 发 生 ， 或 者 在 数据 
破坏 后 进行 恢复 ， 一 套 完备 的 密 钥 备份 以 及 恢复 系统 是 必须 的 组 成 部 分 ; 证 书 在 有 效 期 或 者 
到 期 ， 或 者 证 书 有 效 期 内 发 生 状 态 变 更 ， 不 再 需要 保存 相关 的 数据 记录 ， 则 需要 一 套 证 书 废 
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止 处 理 系统 ;为 了 与 其 他 的 应 用 接口 ， 需 要 一 个 良好 的 PKI 应 用 接口 。 

1. 证 书库 

证 书库 是 证 书 的 集中 存放 地 ， 它 与 网 上 的 “ 白 页 ”类 似 ， 是 网 上 的 一 种 公共 信息 库 ， 用 
户 可 以 从 此 处 获得 其 他 用 户 的 证 书 和 公 钥 。 

构造 证 书库 的 最 佳 方法 是 采用 支持 LDAP( 轻 型 目录 访问 协议 ) 的 目录 系统 ， 用 户 或 相关 
的 应 用 可 以 通过 LDAP 来 访问 证 书库 。 系 统 必须 确保 证 书 的 完整 性 ， 防 由 伪造 、 算 改 证 书 。 

2. 密 钥 备份 及 恢复 系统 


如 果 用 户 丢 失 了 用 于 解密 数据 的 密 钥 ， 则 密 文 数据 将 无 法 被 解密 ， 造 成 数据 的 丢失 。 为 
了 避免 这 种 情况 的 出 现 ，PKI 应 该 提供 备份 与 恢复 解密 密 钥 的 机 制 。 

密 钥 的 备份 和 恢复 应 该 由 可 信 的 机 构 来 完成 ， 例 如 CA 可 以 充当 这 一 个 角色 。 值 得 强调 
的 是 ， 密 钥 备份 与 恢复 只 能 针对 解密 密 钥 ， 签 名 私 钥 不 能 作为 备份 。 

3. 证 书 废止 处 理 系统 


证 书 废止 处 理 系 统 是 PKI 的 一 个 重要 组 件 。 同 日 常生 活 中 的 各 种 证 件 一 样 ， 证 书 在 CA 
为 其 签署 的 有 效 期 内 也 可 能 需要 作废 处 理 。 为 了 实现 这 一 个 目的 ，PKI 必须 提供 作废 证 书 的 
一 系列 机 制 。 作 上 刻 证 书 通常 有 以 下 的 策略 。 

e 作废 一 个 或 多 个 主体 的 证 书 。 

e 作废 由 某 一 对 密 钥 签发 的 所 有 证 书 。 

e 作废 由 某 CA 签发 的 所 有 证 书 。 

作废 证 书 一 般 通 过 将 证 书 列 入 废 证 书 表 (CRL) 来 完成 。 通 常 ， 系 统 中 由 CA 负责 创建 并 
维护 一 张 及 时 更 新 的 CRL 表 ， 而 由 用 户 在 验证 证 书 时 负责 检查 该 证 书 是 否 在 CRL 之 列 ， 一 
般 是 存放 在 目录 系统 中 。 

4. PKI 应 用 接口 系统 


PKI 的 价值 在 于 使 用 户 能 够 方便 地 使 用 加 密 、 数 字 签 名 等 安全 服务 ,因此 一 个 完整 的 PKI 
必须 提供 民 好 的 应 用 接口 系统 ， 使 得 各 种 各 样 的 应 用 能 够 以 安全 、 一 致 、 可 信 的 方式 与 PKI 
交互 ， 确 保 所 建立 起 来 的 网 络 环境 的 可 信和 性 ， 同 时 降低 管理 维护 成 本 。 


10.4 PKI 功能 


归纳 起 来 ，PKI 应 该 为 应 用 提供 如 下 的 安全 支持 : 证 书 管理 与 CA， 密 钥 备份 及 恢复 系 
统 ， 交 又 签证 ， 加 密 密 钥 和 签名 密 钥 的 分 离 ， 支 持 对 数字 签名 的 不 可 抵赖 ， 密 钥 历史 的 管理 ， 
PKI 性 能 要 求 ， 可 扩展 性 ， 互 操作 性 ， 支 持 多 应 用 ， 支 持 多 平台 。 


10.4.1 证 书 管理 


一 个 完善 的 PKI 应 该 实现 CA 以 及 证 书库 、CRL 等 基本 的 证 书 管理 功能 。 
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CA 是 电子 商务 体系 中 的 核心 环节 ， 它 通过 自身 的 注册 审核 体系 RA)， 检 查核 实 进行 证 
书 申 请 的 用 户 身份 和 各 项 相关 信息 ， 使 网 上 交易 的 用 户 属性 客观 真实 ， 且 与 证 书 的 真实 性 一 
致 。 认 证 中 心 作 为 权威 的 、 可 信赖 的 、 公 正 的 第 三 方 机 构 ， 专 门 负责 发 放 并 管理 所 有 参与 网 
上 交易 的 实体 的 数字 证 书 。 

RA 是 数字 证 书 注册 审批 机 构 ， 是 CA 的 证 书 发 放 、 管 理 的 延伸 。 它 负责 证 书 申 请 人 的 
信息 录入 、 审 核 以 及 证 书 发 放 等 工作 ， 同 时 ， 对 发 放 的 证 书 完成 相应 的 管理 功能 。 


10.4.2 ” 密 钥 管 理 


证 书 和 密 钥 都 有 一 定 的 生命 周期 。 当 用 户 的 私 钥 泄露 时 ， 必 须 更 换 密 钥 对 ， 其 次 ， 随 着 
计算 机 速度 的 日 益 提 高 ， 密 钥 长 度 也 要 进行 相应 的 调整 ， 越 来 越 长 ， 另 外 ， 由 于 各 种 不 可 预 
料 的 因素 造成 的 密 钥 或 者 证 书 的 丢失 、 损 坏 ， 要 求 PKI 具有 恢复 证 书 的 功能 。PKI 应 该 提供 
完全 自动 ， 无 须 用 户 干预 的 密 钥 更 换 以 及 新 证 书 的 发 放 服务 。 同 时 ， 加 密 和 签名 密 钥 的 管理 
需求 是 相互 抵触 的 ， 因 此 PKI 应 该 支持 加 密 和 签名 密 钥 的 分 离 使 用 ， 避 免 因 此 造成 的 安全 
隐患 。 

每 次 更 新 了 加 密 密 钥 之 后 ， 相 应 的 解密 密 钥 都 应 该 存档 ， 以 便 将 来 恢复 用 旧 密 钥 加 密 的 
数据 。 每 次 更 新 签名 密 钥 后 ， 旧 的 签名 私 钥 应 该 妥善 销毁 ， 防 止 破坏 其 唯一 性 。 相 应 的 旧 验 
证 公 钥 应 该 进行 存档 ， 以 便 将 来 用 于 验证 旧 的 签名 。 


10.4.3 认证 


数字 证 书 认 证 解决 了 交易 和 结算 中 的 安全 问题 ,其 中 包括 建立 电子 商务 各 主体 之 间 的 信 
任 关系 ， 即 建立 安全 认证 体系 (CA); 选择 安全 标准 (如 SET、SSL); 采用 高 强度 的 加 密 、 解 密 
技术 。 其 中 安全 认证 体系 是 关键 ， 它 决定 了 交易 和 结算 是 否 安全 进行 。 

CA 是 整个 PKI 的 关节 环节 ， 它 主要 负责 产生 、 分 配 所 有 参与 交易 的 实体 所 需 的 身份 认 
证 数字 证 书 。 每 一 份 数字 证 书 都 与 上 一 级 的 数字 签名 证 书 相 关联 ， 最 终 通过 安全 链 追 溯 到 一 
个 已 知 的 并 被 广泛 认为 是 安全 、 权 威 、 足 以 信赖 的 机 构 : 根 认 证 中 心 ( 根 CA)。 

认证 机 构 为 了 实现 其 功能 ， 一 般 主 要 由 三 个 部 分 组 成 : 注册 服务 器 、 证 书 申 请 受理 和 审 
核 机 构 、 认 证 中 心服 务 器 。 


10.4.4 ”安全 服务 功能 
具体 内 容 如 下 。 
1. 透明 性 和 易 用 性 


作为 网 络 环境 的 一 种 基础 设施 ，PKI 必须 具有 良好 的 性 能 。 一 般 对 PKI 的 性 能 有 透明 性 
和 易 用 性 的 要 求 ， 这 是 对 PKI 的 最 基本 要 求 。 
2. 不 可 抵赖 性 


任何 类 型 的 网 络 安全 服务 都 离 不 开 这 一 个 基本 要 求 : 不 可 抵赖 性 。 
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3. 可 扩展 性 、 互 操作 性 


随 着 业务 量 的 日 益 提 升 ， 申 请 注册 证 书 和 废止 旧 证 书 的 数据 量 也 相应 增 大 ， 因 此 ， 证 书 
库 和 废止 证 书 列表 CRL 必须 具有 良好 的 可 扩展 性 。 


10.5 信任 模型 


选择 信任 模型 (Trust ModeD) 是 构建 和 运作 PKI 所 需 的 一 个 环节 ， 选 择 正确 的 信任 模型 以 
及 它 相 应 的 安全 级 别 是 非常 重要 的 。 同 时 也 是 部 署 PKI 所 要 做 的 早期 和 基本 的 决策 之 一 。 

信任 模型 主要 阐述 了 以 下 几 个 问题 : 一 个 PKI 用 户 能 够 信任 的 证 书 是 怎样 被 确定 的 ; 这 
种 信任 是 怎样 建立 的 ， 在 特定 环境 下 ， 这 种 信任 如 何 被 控制 。 

下 面 ， 我 们 简单 介绍 目前 常见 的 几 种 信任 模型 ;认证 机 构 的 严格 层次 结构 横 型 (Strict 
Hierarchy of Certification Authorities ModeD) 、 分 布 式 信任 结构 模型 (Distributed Trust 
Artchitecture Model)， 即 网 状 结构 模型 及 Web 模型 (Web Model)。 


10.5.1 ”层次 结构 模型 


认证 机 构 (CA) 的 层次 结构 可 以 被 描述 为 一 棵 倒转 的 树 ， 根 在 顶 上 ， 树 枝 向 下 伸展 ， 树 叶 
在 下 面 。 在 这 棵 倒转 的 树 上 ， 根 代表 一 个 对 整个 PKI 系统 的 所 有 实体 都 有 特别 意义 的 CA， 
通常 叫做 根 CA(Root CA)， 它 充当 信任 的 根 或 者 “信任 锚 ”(Trust Anchor)， 也 就 是 认证 的 起 
点 或 终点 。 在 根 CA 的 下 面 是 零星 的 或 多 层 中介 CA(Intermediate CA)， 也 被 称 为 子 
CA(Subordinate CA)， 因 为 它们 从 属于 根 CA。 子 CA 用 中 间 节 点 表示 ， 从 中 间 节 点 再 伸 出 分 
支 。 与 非 CA 的 PKI 实体 相对 应 的 树叶 通常 被 称 为 终端 实体 (End Entities) 或 称 为 终端 用 户 (End 
Users)。 在 这 个 模型 中 ， 层 次 结构 中 的 所 有 实体 都 是 信任 唯一 的 根 CA。 这 个 层次 结构 按 如 下 
规则 建立 。 

根 CA 认证 (准确 地 说 是 创立 和 签署 证 书 ) 直 接连 接 在 它 下 面 的 CA。 每 个 CA 都 认证 零 个 
或 多 个 直接 连接 在 它 下 面 的 CA。 倒数 第 二 层 的 CA 认证 终端 实体 。 

在 认证 机 构 的 层次 结构 中 ， 每 个 实体 (包括 中 介 CA 和 终端 实体 ) 都 必须 有 根 CA 的 公 钥 ， 
该 公 钥 的 安装 是 在 这 个 模型 中 为 随后 进行 的 所 有 通信 进行 证 书 处 理 的 基础 。 因 此 ， 它 必须 通 
过 一 种 安全 的 方式 来 完成 。 


10.5.2 ”分 布 式 网 状 结构 模型 


与 在 PKI 系统 中 的 所 有 实体 都 信任 唯一 的 一 个 CA 的 严格 层次 结构 相反 ， 分 布 式 信任 结 
构 把 信任 分 散在 两 个 或 多 个 CA 上 ， 形 成 一 个 网 状 的 结构 。 也 就 是 说 ，A 把 CA1 作为 它 的 信 
任 销 , 而 了 可 以 把 CA2 作为 它 的 信任 锚 。 因 为 这 些 CA 都 作为 信任 锚 ， 因 此 相应 的 CA 必须 
是 整个 PKI 系统 的 一 个 子 集 所 构成 的 严格 层次 结构 的 根 CA(CA1 是 包括 A 在 内 的 层次 结构 的 
根 ，CA2 是 包括 B 在 内 的 层次 结构 的 根 )。 

如 果 这 些 层 次 结构 都 是 可 信和 颁发 者 层次 结构 ， 那 么 该 总 体 结构 就 被 称 为 完全 同位 体 结构 
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(Fully Peered Architecture)， 因 为 所 有 的 CA 实际 上 都 是 相互 独立 的 同位 体 (在 这 个 结构 中 没有 
CA)。 男 一 方面 ， 如 果 所 有 的 层次 结构 都 是 多 层 结构 (Multi Level Hierarchy)， 那 么 最 终 的 结构 
就 被 叫做 满 树 结构 (Fully Treed Architecture)。 

混合 结构 (Hybrid Treed Architecture) 也 是 可 能 的 (具有 若干 个 可 信和 颁发 者 层次 结构 和 若干 
个 多 层 树 型 结构 )。 一 般 来 说 ， 完 全 同位 体 结构 部 署 在 某 个 组 织 内 部 ， 而 满 树 结构 和 混合 结构 
则 是 在 原来 相互 独立 的 PKI 系统 之 间 进 行 互 联 的 结果 。 尽 管 “PKI 网 络 (PKI Networking)” 一 
词 用 得 越 来 越 多 (特别 对 满 树 结构 和 混合 结构 )， 但 是 同位 体 根 CA(Peer Root CA) 的 互 连 过 程 
通常 被 称 为 “交叉 认证 (Cross Certification)”。 


10.5.3 ”Web 模型 


Web 模型 是 在 WWW 上 诞生 的 ， 并 且 依 赖 于 流行 的 浏览 器 ， 如 以 前 的 Netscape 公司 的 
Navigator 和 Microsoft 公司 的 Intemet Explorer。 在 这 种 模型 中 ， 许 多 CA 的 公 钥 被 预 装 在 标 
准 的 浏览 器 上 。 这 些 公 钥 确 定 了 一 组 浏览 器 用 户 最 初 信任 的 CA， 尽 管 这 组 根 密 钥 可 以 被 用 
户 修 改 ， 然 而 几乎 没有 普通 用 户 对 于 PKI 和 安全 问题 能 精通 到 可 以 进行 这 种 修改 。 

初 看 之 下 ， 这 种 模型 似乎 与 分 布 式 信任 结构 模型 相似 ， 但 从 根本 上 讲 ， 它 更 类 似 于 认证 
机 构 的 严格 层次 结构 模型 。 因 为 在 实际 上 ， 浏 览 器 厂商 起 到 了 根 CA 的 作用 ， 而 与 被 嵌入 的 
密 钥 相对 应 的 CA 就 是 它 所 认证 的 CA， 当 然 这 种 认证 并 不 是 通过 颁发 证 书 实现 的 ， 而 只 是 
物理 地 把 CA 的 密 钥 嵌 入 浏览 器 。 

Web 模型 在 方便 性 和 简单 互 操作 性 方面 有 明显 的 优势 , 但 是 也 存在 许多 安全 隐患 。 例 如 ， 
因为 浏览 器 的 用 户 自动 地 信任 预 安装 的 所 有 公 钥 ， 所 以 即使 这 些 根 CA 中 有 一 个 是 “ 坏 的 ”， 
例如 ， 该 CA 从 没有 认真 核实 被 认证 的 实体 ， 安 全 性 将 被 完全 破坏 。A 将 相信 任何 声称 是 B 
的 证 书 都 是 B 的 合法 证 书 ， 即 使 它 实 际 上 只 是 由 公 钥 嵌入 浏览 器 中 的 坏 的 CA 签署 的 挂 在 B 
名 下 的 C 的 公 钥 。 所 以 ，A 就 可 能 无 意 间 向 C 透露 机 密 或 接受 C 伪造 的 数字 签名 。 

当然 ， 在 其 他 信任 模型 中 也 可 能 出 现 类 似 的 情况 。 例 如 在 分 布 式 信任 模型 中 ，A 或 许 不 
能 认可 一 个 特定 的 CA， 但 是 在 其 软件 在 相关 的 交叉 认证 是 有 效 的 情况 下 ， 却 会 信任 该 CA 
所 签署 的 证 书 。 在 分 布 式 信任 结构 中 ，A 在 PKI 安全 方面 明确 地 相信 其 局 部 CA“ 做 正确 的 
事 ”， 例 如 ， 与 可 信 的 其 他 CA 进行 交叉 认证 等 。 而 在 Web 模型 中 ，A 通常 因为 与 安全 无 关 
的 原因 而 取得 浏览 器 的 信任 ， 因 此 ， 从 这 个 安全 观点 来 看 ， 没 有 任何 理由 相信 这 个 浏览 器 是 
在 信任 “正确 的 ”CA。 

另 一 个 潜在 的 安全 隐患 是 没有 实用 的 机 制 来 撤销 嵌入 到 浏览 器 中 的 根 密 钥 。 如 果 发 现 一 
个 根 密 钥 是 “ 坏 的 ”( 就 像 前 面 所 讨论 的 那样 ) 或 者 与 根 的 公 钥 相对 应 的 私 钥 被 泄密 了 ， 要 使 
全 世界 数 百 万 个 浏览 器 都 自动 地 废止 该 密 钥 的 使 用 ， 是 不 可 能 的 。 这 是 因为 无 法 保证 通报 的 
报 文 能 到 达 所 有 的 浏览 器 ， 而 且 即 使 报 文 到 达 了 浏览 器 ， 浏 览 器 也 没有 处 理 该 报 文 的 功能 。 
因此 ， 从 浏览 器 中 去 除 坏 密 钥 ， 需 要 全 世界 的 每 个 用 户 都 同时 采取 明确 的 动作 ， 否 则 ， 一 些 
用 户 将 是 安全 的 而 其 他 用 户 仍 处 于 危险 中 ， 但 是 这 样 一 个 全 世界 范围 内 的 同时 动作 是 不 可 能 
实现 的 。 

最 后 ， 该 模型 还 缺少 有 效 的 方法 在 CA 和 用 户 之 间 建 立 合 法 的 协议 ， 该 协议 的 目的 是 使 
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CA 和 用 户 共同 承担 责任 。 因 为 浏览 器 可 以 自由 地 从 不 同 站 点 下 载 ， 也 可 以 预 装 在 操作 系统 
中 ，CA 不 知道 (也 无 法 确定 ) 它 的 用 户 是 谁 ， 并 且 一 般 用 户 对 PKI 也 缺乏 足够 的 了 解 ， 因 此 不 
会 主动 与 CA 直接 接触 。 这 样 ， 所 有 的 责任 最 终 或 许 都 会 由 用 户 来 承担 。 


10.6 ”相关 的 标准 


两 个 PKI 应 用 程序 之 间 要 进行 交互 , 只 有 互相 理解 对 方 发 来 的 数据 的 字 节 的 含义 才 可 能 
实现 。 标 准 提供 了 数据 语法 和 语义 的 共同 约定 。 最 常见 的 PKI 应 用 程序 格式 标准 是 和 .509 标 
准 ， 因 为 它 定义 了 公 钥 证 书 的 基本 结构 。RSA 实验 室 的 PKCS 标准 是 定义 数据 比特 含义 的 主 
要 标准 。 这 些 标准 定义 了 如 何 恰当 地 格式 化 私 钥 或 者 公 钥 。 其 他 重要 的 标准 包括 PKIX 证 书 
和 CRL 概要 文件 、X.500 目录 服务 协议 和 LDAP 轻型 目录 访问 协议 。 


10.6.1 X.509 标准 


X.509 是 国际 电信 联盟 一 一 电信 QTU-T) 部 分 标准 和 国际 标准 化 组 织 4SO) 的 证 书 格式 标 
准 。 作 为 ITU-ISO 目录 服务 系列 标准 的 一 部 分 ，X.509 定义 了 公 钥 证 书 的 基本 标准 。1988 年 
首次 发 布 ，1993 年 和 1996 年 两 次 修订 ， 当 前 版 本 是 X.509v3， 它 加 入 了 扩展 字段 的 支持 ， 极 
大 地 增进 了 证 书 的 灵活 性 。X.509v3 证 书包 括 一 组 按 预 定义 顺序 排列 的 强制 字段 ， 还 有 可 选 
扩展 字段 。 即 使 在 强制 字段 中 ，X.509 证 书 也 允许 很 大 的 灵活 性 ， 因 为 它 为 大 多 数字 段 提供 
了 多 种 编码 方案 。 


10.6.2 ”PKIX 标准 


IETF 的 安全 领域 的 公 钥 基 础 设施 PKIX) 工 作 组 正在 为 互联 网 上 使 用 的 公 钥 证 书 定义 一 
系列 的 标准 。PKIX 工作 组 在 1995 年 10 月 组 成 ， 目 的 是 要 开发 必须 的 互联 网 标准 来 支持 可 
互 操作 的 PKI。 工 作 组 的 第 一 项 任务 是 要 创建 一 个 概要 文件 ， 把 证 书 数据 结构 、 扩 展 域 和 数 
据 取 值 限定 在 一 个 特定 的 可 选 范 围 内 。X.509 标准 的 巨大 灵活 性 使 得 互 操 作 难 以 实现 ，PKIX 
工作 组 希望 通过 限制 允许 的 选项 ， 提 高 PKI 系统 间 的 互 操作 性 。 

PKIX 工作 组 定义 了 公 钼 证 书 及 CRL 的 概要 文件 。 在 一 些 情况 下 ， 它 还 定义 了 其 他 的 证 
书 扩展 字段 或 证 书 属性 ， 还 有 这 些 属性 的 对 象 标识 。PKIX 也 正在 开发 新 的 协议 以 便于 PKI 
生命 周期 中 自始至终 对 PKI 信息 的 管理 。 这 些 协 议 大 部 分 都 在 本 章 讨论 ， 包 括 证 书 管理 协议 
(CMP)、 安 全 多 用 途 邮件 扩展 (S/MIME) 和 在 线 证 书 状态 协议 (OCSP) 等 。 


10.6.3 ”PKCS 标准 


公 钥 密码 标准 (PKCS) 是 由 RSA 实验 室 与 工业 界 、 学 术 界 和 政府 代表 合作 ， 最 初 为 了 推 
进 公 钥 密 码 系 统 的 互 操作 性 而 开发 的 。 在 RSA 带领 下 PKCS 的 研究 随 着 时 间 不 断 发 展 ， 涉 
及 了 不 断 发 展 的 PKI 格式 标准 、 算 法 和 应 用 程序 接口 。PKCS 标准 提供 了 基本 的 数据 格式 定 
义 和 算 法 定义 ， 它 们 实际 上 是 今天 所 有 PKI 实现 的 基础 。 

PKCS 标准 包括 如 下 内 容 。 
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e@ PKCS #1 RSA 加 密 标准 。 

e。 PKCS #2 RSA 的 消息 摘要 加 密 。 

e@ PKCS #3 Diffie-Hellman 密 钥 协议 标准 。 
e PKCS 州 最 初 是 规定 RSA 密 钥 语 法 。 
e@ PKCS 的 基于 口令 的 加 密 标准 。 

e PKCS #6 扩展 证 书 语法 标准 。 

e PKCS #7 密码 消息 语法 标准 。 

e PKCS #8 私 钥 信息 语法 标准 。 

e@ PKCS #9 可 选 属性 类 型 。 

e@ PKCS #10 证 书 请 求 语法 标准 。 

PKCS #11 密码 令 牌 接口 标准 。 

PKCS #12 个 人 信息 交换 语法 标准 。 
PKCS #13 椭圆 曲线 密码 标准 。 

PKCS #14 伪 随 机 数 产 生 标准 。 

PKCS #15 密码 令 牌 信息 语法 标准 。 
10.6.4 X.500 标准 


X.500 是 一 套 已 经 被 国际 标准 化 组 织 ISO) 接 受 的 目录 服务 系统 标准 ， 由 国际 电报 电信 咨 
询 委员 会 (Consultative Committee of International Telegraph and Telephone，CCITT) 在 1988 年 
制定 第 一 版 ，1993 年 国际 电信 联盟 电信 标准 化 部 门 (简称 ITU-T， 由 CCITT 改组 而 成 做 了 显 
著 的 修订 和 补充 ， 产 生 了 第 二 版 。 它 定义 了 一 个 机 构 如 何在 全 局 范围 内 共享 其 名 字 和 与 之 相 
关 的 对 象 ， 是 一 组 标准 的 集合 ， 定 义 了 分 布 式 目录 服务 ， 是 一 套 完整 的 信息 存储 机 制 ， 包 括 
信息 模型 、 认 证 框架 、 命 名 空间 、 功 能 模型 、 分 布 式 操作 模型 以 及 复制 机 制 、 搜 索 机 制 和 用 
于 客户 机 /服务 器 的 通信 访问 协议 等 。X.500 系列 标准 由 以 下 9 个 标准 组 成 。 

e X.500 目录 服务 的 概要 介绍 。 

e@ X.501 定义 了 目录 服务 的 模型 。 

e@ X.511 对 目录 的 各 个 抽象 服务 做 了 定义 。 

e X.518 描述 分 布 操作 的 实现 过 程 。 

e X.519 是 传输 协议 。 

e X.520 和 XX.521 定义 了 常用 对 象 类 和 属性 。 

e X.509 提出 了 一 种 认证 的 框架 。 

e X.525 描述 了 复制 机 制 。 

e X.530 描述 了 在 OSI 七 层 协议 模型 上 的 X.500 目录 服务 管理 。 

X.500 系列 标准 的 目录 服务 是 分 布 式 的 ， 每 个 目录 的 用 户 由 一 个 目录 用 户 代理 (Directory 
User Agent，DUA) 代 表 ， 它 就 是 用 户 用 于 访问 目录 服务 的 进程 。 在 用 户 看 来 ， 这 个 目录 在 逻 
辑 上 是 统一 的 整体 ， 但 实际 上 目录 信息 可 能 分 布 在 不 同 组 织 管理 的 计算 机 上 ， 这 些 计 算 机 中 
运行 的 相互 配合 提供 服务 的 进程 是 目录 服务 代理 (Directory Server Agent，DSA)。 
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X.500 目录 服务 可 以 提供 域内 的 用 户 和 资源 信息 。 在 X.500 目录 结构 中 ， 通 过 目录 访问 
协议 (Directory Access Protocol，DAP)， 客 户 机 查询 并 接收 来 自 服务 器 目录 服务 器 中 上 的 响 
应 ， 从 而 实现 对 服务 器 和 客户 机 之 间 的 通信 控制 。 
X.500 主要 具备 以 下 特征 。 
e 分 散 维护 (Decentralized Maintenance): 运行 于 X.500 的 每 个 站 点 只 负责 本 地 目录 部 分 ， 
所 以 可 以 立即 进行 更 新 和 维护 操作 。 

e 强大 的 搜索 性 能 : X.500 具有 强大 的 搜索 功能 ， 支 持 用 户 建立 的 任意 复杂 查询 。 

e 单一 全 局 命名 空间 (Single Global Namespace): 类 似 于 DNS，X.500 可 为 用 户 提供 单 
一 同性 命名 空间 (Single Homogeneous Namespace)。 与 DNS 相 比 ，X.500 的 命名 空间 
更 加 灵活 且 易 于 扩展 。 

e@ 结构 化 信息 结构 (Structured Information Framework): X.500 目录 中 定义 了 信息 结构 ， 

允许 本 地 扩展 。 

e 基于 标准 的 目录 服务 (Standards-Based Directory Services): X.500 可 以 被 用 于 建立 一 个 

基于 标准 的 目录 ， 发 送 请 求 的 应 用 程序 能 访问 这 些 目录 信息 。 

X.500 是 层次 性 的 ， 其 中 的 管理 域 (机 构 、 分 支 、 部 门 和 工作 组 ) 可 以 提供 这 些 域内 的 用 户 
和 资源 信息 。 在 PKI 体系 中 ，X.500 被 用 来 唯一 标识 一 个 实体 ， 该 实体 可 以 是 机 构 、 组 织 、 
个 人 或 一 台 服务 器 。X.500 被 认为 是 实现 目录 服务 的 最 佳 途径 ， 其 优势 是 具有 信息 模型 、 多 
功能 和 开放 性 。 但 是 X.500 需要 较 大 的 投资 ， 并 且 比 其 他 方式 速度 慢 。 

由 于 X.500 严格 遵照 OSI 七 层 协议 模型 ， 充 分 利用 了 OSI 协议 的 表示 层 服务 。 要 求 系统 
安装 庞大 的 OSI 协议 栈 ， 而 普通 PC 无 法 安装 ， 并 且 在 ntermet 上 最 广泛 使 用 的 TCP/IP 协议 
体系 不 包括 表示 层 ， 限 制 了 X.500 在 Intemet 上 的 应 用 。 为 了 解决 这 个 问题 ， 密 敬 根 州 大 学 
推出 了 一 种 较为 简单 的 基于 TCP/IP 的 DAP 新 版 本 ， 即 轻 量 级 目录 访问 协议 (Lightweight 
Directory Access Protocol，LDAP), 主要 用 在 Intemet 上 ，LDAP 与 DAP 具有 很 多 类 似 的 基本 
功能 ， 另 外 它 还 能 用 来 查询 权限 目录 或 开放 X.500 服务 上 的 数据 。 


10.6.5 ” LDAP 标准 


轻 量 级 目录 访问 协议 (Lightweight Directory Access Protocol，LDAP) 是 在 X.500 标准 基础 
上 产生 的 一 个 简化 版 本 ,是 X.500 标 准 中 目录 访问 协议 (DAP) 的 一 个 子 集 ,简化 了 完整 的 X.500 
实现 功能 ,并 扩展 了 对 TCP/IP 协议 体系 的 支持 ,这 是 与 X.500 最 大 的 不 同 之 处 ,是 访问 Intemet 
必须 的 。 用户 只 要 安装 了 TCP/IP 协议 就 能 够 访问 X.500 目录 ，LDAP 也 可 以 用 于 建立 X.500 
目录 。 

LDAP 协议 于 1993 年 获 批准 ， 产 生 LDAP vl 版 。 之 后 由 于 考虑 到 RSA 的 复杂 性 ， 出 现 
了 第 二 代 的 LDAP， 即 LDAP v2， 它 可 以 提供 独立 的 目录 服务 ， 采 用 了 简单 的 编码 方式 ， 并 
且 在 TCP/AP 上 实现 。 但 是 LDAP v2 没有 提供 访问 控制 ， 访 问安 全 方面 仅 在 绑 定 目录 时 提供 
了 明文 密码 和 Kerberos 两 种 选项 。1997 年 发 布 新 的 LDAP v3 版 ， 该 版 本 是 LDAP 协议 发 展 
的 一 个 里 程 碑 ， 提 供 了 很 多 自 有 的 特性 ， 使 LDAP 功能 更 加 完善 ， 具 有 很 大 的 生命 力 。 


第 10 章 ” 公 钥 基础 设施 一 一 PKI 。225 。 


1.LDAP 与 X.500 的 区 别 


LDAP 与 X.500 的 区 别 与 联系 如 下 。 

LDAP 是 基于 X.500 的 一 个 X.500 的 访问 机 制 。 

LDAP 是 X.500 简化 的 目录 访问 方法 和 目录 结构 。 

LDAP 通信 是 基于 TCP/IP 的 ， 而 X.500 标准 中 的 DAP 采用 OSI 协议 技术 栈 支 持 。 
LDAP 必须 根据 X.500 来 提供 服务 ， 但 并 不 是 在 提供 服务 的 过 程 中 使 用 协议 。 

2. LDAP 的 组 成 


LDAP 是 一 系列 协议 组 成 的 ， 主 要 包括 以 下 内 容 。 


CD 


REC 2251; 
REC 2232: 
REC 2233: 
RFC 2254: 
RFC 2253; 
RFC 2250: 
RFC 2829: 
RFC 2830: 
REC 1823; 
RFC 2847: 


LDAPv3 核心 协议 ， 定 义 了 LDAP v3 协议 的 基本 模型 和 基本 操作 。 
定义 LDAP v3 基本 数据 模式 (Schema)。 

定义 LDAP v3 中 的 分 辨 名 (DDN) 表达 式 。 

定义 LDAP v3 中 的 过 滤 表 达 式 。 

定义 LDAP v3 统一 资源 地 址 的 格式 。 

定义 LDAP v3 使 用 X.500 的 Schema 的 列表 。 

定义 LDAP v3 中 的 认证 方式 。 

定义 了 如 何 通过 扩展 使 用 TLS 服务 。 

定义 了 C 的 LDAP 客户 端 API 开发 接口 。 

定义 了 LDAP 数据 导入 、 导 出 文件 接口 LDIF。 


. LDAP 的 特点 


(1) 层次 结构 清晰 ， 数 据 存 取 速度 快 

LDAP 是 专门 为 数据 的 查询 服务 优化 的 ， 基 于 树 状 的 层次 结构 大 幅度 缩短 了 检索 所 需要 
的 时 间 。 对 于 数据 的 修改 ，LDAP 假定 修改 操作 远 小 于 查询 操作 所 占 的 比例 。 

(2) 同步 复制 和 分 布 式 服务 功能 

大 部 分 LDAP Server 都 提供 了 自动 复制 备份 功能 ， 保 证 了 数据 的 安全 和 同步 ， 并 且 通 过 
索引 功能 支持 分 布 式 的 LDAP 服务 。 

(3) 可 以 跨 平 台 和 系统 

LDAP 协议 位 于 TCP/IP 的 上 层 , 与 具体 的 操作 系统 无 关 , 服务 器 提供 的 是 标准 统一 的 接 
口 ， 各 种 平台 的 服务 器 端 可 以 通过 LDAP 端口 进行 数据 存 取 。 

(4) 完善 的 安全 控制 设施 

LDAP 服务 可 以 使 用 标准 的 SSL 连接 (LDAPS)， 保 证 连接 的 机 密 性 ， 并 且 对 于 自身 数据 
的 访问 也 允许 通过 ACL( 访 问 控制 列表 ) 控 制 ， 严 密 的 安全 措施 保证 了 数据 的 可 靠 性 ， 内 置 的 
ACL 可 以 根据 访问 者 身份 , 访问 数据 的 信息 ,数据 存放 的 位 置 以 及 其 他 相关 信息 对 数据 进行 
访问 控制 ，LDAP 目录 服务 器 负责 这 些 访问 权限 的 控制 ， 因 此 客户 端的 应 用 程序 就 可 以 避免 
与 自身 控制 无 关 的 安全 检查 。 
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同时 , 由 于 LDAP 协议 的 开放 性 和 众多 的 LDAP 服务 器 端 和 客户 端 免费 应 用 软件 的 开发 
使 用 ，LDAP 越 来 越 受到 业界 的 广泛 认同 。LDAP 的 广泛 应 用 与 流行 又 进一步 促进 了 LDAP 
自身 的 不 断 发 展 ， 而 各 个 软件 厂商 也 在 各 自 的 产品 中 加 入 了 对 LDAP 的 支持 。 因 此 在 公共 信 
息 查 询 与 存储 领域 ，LDAP 具有 广泛 的 影响 力 。 


本 章 小 结 


本 章 从 PKI 基础 知识 出 发 ， 描 述 了 PKI 系统 部 件 、 组 成 以 及 各 种 相关 协议 标准 ， 从 技术 
层面 介绍 了 PKI 的 实现 技术 和 系统 架构 ， 和 希望 通过 本 章 的 学 习 能 够 对 用 户 了 解 、 研 发 、 建 设 
和 应 用 PKI 起 到 帮助 ， 掌 握 基 础 的 网 络 安全 协议 知识 ， 为 后 面 章节 的 学 习 打 下 坚实 的 基础 。 


课 后 练习 


一 、 填 空 题 
1. 从 密 钥 密码 体制 的 分 类 来 看 ，PKI 属于 ( ) 体 制 。 
2. 数字 证 书 是 网 络 上 的 ( )， 它 的 技术 涉及 三 方面 机 构 ， 分 别 是 ( )、 
( )、( js 
3. JDK 1.4 以 上 版 本 提供 了 对 数字 证 书 的 应 用 程序 接口 类 ， 主 要 有 ( jk 
1 )、( )。 
4. 本 章 介绍 了 几 种 常见 的 信任 模式 ,分别 是 ( )、( )\( )。 
5. 本 章 介绍 的 几 种 标准 中 ，( ) 是 实际 上 所 有 PKI 实现 的 基础 。 
二 、 选 择 题 
1. 下 列 特性 中 ， 属 于 PKI 的 特性 的 是 (  )。 
A. 易于 使 用 B. 可 以 预测 C. 透明 性 。 DD. 不 可 抵赖 性 
2. PKI 基础 设施 提供 的 安全 服务 ， 包 括 下 面 的 ( )。 
A. 安全 登录 B. 可 以 预测 C. 透明 性 。 D. 不 可 抵赖 性 
3. 下 述 选项 中 ，( ) 是 PKI 事实 上 的 行业 标准 。 
A. X.509 B. PKCS C.X.500 D. LDAP 
4. 下 述 特点 中 ， 属 于 LDAP 具备 的 特点 有 (  ”)。 
A. 层次 结构 B. 分 布 式 服务 ” C. 跨 平 台 ” D. 速度 快 


5. X.500 所 包含 的 标准 ， 包 括 以 下 的 (。”)。 
A. X.501 B.X.511 C. X.509 D. X.525 
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. PKI 具有 什么 样 的 特性 ? 

描述 数字 证 书 的 生命 周期 经 历 哪儿 个 阶段 。 
. 简单 说 明 LDAP 与 义 .500 的 区 别 。 

. 简 述 PKCS 的 标准 内 容 。 

. 简 述 义 .500 标准 包含 几 个 标准 及 其 内 容 。 
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随 着 Intemet 的 发 展 和 网 上 电子 商务 的 繁荣 ，Internet 已 从 最 初 仅 用 于 军 方 及 科研 机 构 的 
网 络 转变 成 了 一 个 庞大 的 商业 通信 骨干 网 。 越 来 越 多 的 企业 、 部 门 和 组 织 加 入 进来 ， 新 的 应 
用 领域 不 断 扩展 ， 很 多 企业 都 希望 在 Internet 上 开展 自己 的 业务 ， 而 个 人 也 希望 Internet 能 提 
供 更 多 的 服务 。 人 们 对 Intemnet 的 依赖 性 越 来 越 强 ， 同 时 也 意味 着 Intemet 的 安全 性 正成 为 人 
们 关注 的 焦点 。 


本 章 重 点 

e 链 路 加 密 与 端 到 端 加 密 的 概念 及 特点 
e 按 过 滤 原 理 划分 防火 墙 类 型 及 其 特点 
e 入 侵 检测 系统 部 署 方法 

e VPN 的 主要 应 用 场合 、 特 点 


11.1 网 络 数据 加 密 技术 


网 络 数据 加 密 技术 是 网 络 安全 保障 的 最 基本 要 求 。 密 码 学 作为 网 络 安全 的 核心 ， 得 到 了 
广泛 的 应 用 。 理 论 上 ， 加 密 操 作 可 以 在 OSI 模型 中 的 任意 层 上 进行 。 但 在 实际 应 用 中 ， 加 密 
机 制 一 般 放 在 较 低 层 ， 这 样 能 以 较 小 的 开销 获得 较 好 的 安全 效果 。 加 密 方式 通常 分 为 两 种 
链 路 加 密 、 端 到 端 加 密 。 

11.1.1 链 路 加 密 


链 路 加 密 可 用 于 任何 类 型 的 数据 通信 链 路 。 因 为 链 路 加 密 要 对 通过 这 条 链 路 的 所 有 数据 
进行 加 密 ， 通 常 在 物理 层 或 数据 链 路 层 实施 加 密 机 制 。 链 路 加 密 方式 如 图 11-1 所 示 。 


发 送 端 中 间 节 点 1 中 间 节 点 2 接收 端 


El 2 3 
»| 下 ii 外 | Di >» Es [i Di »| Es 和 Dis pp 


中 


图 11-1 链 路 加 密 工作 原理 


由 图 11-1 可 知 ， 链 路 加 密 的 工作 原理 是 ， 数 据 报 P( 明 文 ) 经 发 送 端的 加 密 设备 处 理 后 (加 
密 动作 为 下 ， 使 用 密 钥 KJ) 变 成 Ci( 密 文 )， 发 送 到 链 路 1 上 传输 ， 到 达 中 间 节 点 1。 在 中 间 节 
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点 1 内， 首先 由 解密 设备 将 Cl 进行 解密 操作 (解密 动作 为 D， 密 钥 使 用 K1)， 恢 复 为 P， 再 
进行 相关 处 理 。 在 发 送 到 链 路 2 之 前 ， 再 由 加 密 设备 对 了 进行 加 密 (使 用 密 钥 K2)。 在 中 间 节 
点 2 和 接收 端 也 采取 类 似 的 处 理 过 程 。 

链 路 加 密 的 优点 在 于 ， 对 用 户 透 明 ,， 能 提供 流量 保密 性 ， 密 钥 管理 简单 ， 提 供 主机 鉴别 ， 
加 密 和 解密 都 是 在 线 进行 的 。 缺 点 是 : 数据 仅 在 传输 线路 上 是 加 密 的 ， 在 发 送 主机 和 中 间 节 
点 上 都 是 暴露 的 明文 形式 ， 容 易 受 到 攻击 。 此 外 ， 网 络 中 的 每 条 物理 链 路 都 必须 加 密 ， 当 网 
络 很 大 时 ， 加 密 和 维护 的 开销 大 ， 而 且 每 段 链 路 需要 使 用 不 同 的 密 钥 。 因 此 ， 在 使 用 链 路 加 
密 时 ， 必 须 保护 主机 和 中 间 节 点 的 安全 。 


11.1.2 ” 端 到 端 加 密 
端 到 端 加 密 是 指数 据 在 发 送 端 被 加 密 后 ， 通 过 网 络 传输 ， 到 达 接 收 端 后 才 被 解密 。 端 到 


端 加 密 方式 如 图 11-2 所 示 。 
发 送 端 中 间 节 点 1 中 间 节 点 2 接收 端 


链 1 链 2 链 3| [Dp 
k3 
C> C3 Pp 


图 11-2 端 到 端 加 密 工 作 原 理 


在 端 到 端 加 密 方式 中 ， 数 据 在 发 送 端 被 加 密 后 ， 一 直 保持 加 密 状 态 在 网 络 中 传输 。 这 样 
做 有 两 个 好 处 , 一 是 避免 了 每 段 链 路 的 加 密 解密 开销 , 二 是 不 用 担心 数据 在 中 间 节 点 被 暴露 。 

在 端 到 端 加 密 方式 中 , 加 密 机 制 可 放置 在 不 同 的 位 置 , 如 应 用 层 、 网 络 层 或 数据 链 路 层 。 
端 到 端 加 密 方 式 通常 采用 软件 来 实现 。 端 到 端 加 密 方式 的 主要 优点 是 ， 在 发 送 端 和 中 间 节 点 
上 数据 都 是 加 密 的 ， 安 全 性 好 。 这 种 方式 提供 了 更 灵活 的 保护 手段 ， 能 针对 用 户 和 应 用 实现 
加 密 ， 用 户 可 以 有 选择 地 应 用 加 密 ， 并 能 提供 用 户 鉴别 。 主 要 缺点 是 : 不 能 提供 流量 保密 性 ， 
需要 用 户 来 选择 加 密 方法 和 决定 算法 ， 每 对 用 户 需要 一 组 密 钥 ， 密 钥 管理 系统 复杂 。 这 种 方 
式 只 有 在 需要 时 才 进 行 加 密 ， 即 加 密 是 离线 的 。 


11.2 防 火 墙 


传统 意义 上 的 防火 墙 (Firewa 了 是 指 建筑 间 实 现 区 域 隔离 、 阻 止 火 势 葛 延 的 设施 ， 如 图 
11-3 所 示 。 


图 11-3 ”传统 意义 上 的 防火 墙 
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网 络 防火 墙 是 在 两 个 不 同 网 络 安全 区 域 之 间 执 行 访 问 控制 策略 的 一 个 或 一 组 系统 ,包括 
硬件 和 软件 。 防 火 墙 遵循 的 是 一 种 允许 或 阻止 业务 来 往 的 网 络 通信 安全 机 制 ， 提 供 可 控 的 过 
滤 网 络 通信 ， 只 允许 授权 的 通信 ， 目 的 是 保护 网 络 不 被 他 人 侵扰 。 


11.2.1 ”防火 墙 概述 
通常 ,防火 墙 就 是 位 于 内 部 网 络 或 Web 站 点 与 ntemet 之 间 的 一 个 路 由 器 或 一 台 计 算 机 ， 


又 称 堡垒 主机 ， 它 是 对 所 有 网 络 通信 流 进 行 过 滤 的 节点 ， 是 两 个 或 多 个 安全 域 之 间 通 信 流 的 
唯一 通道 ， 如 图 11-4 所 示 。 


[一 = 
[一 ~ 中 由 器 三。 人 外 网 


(中 立 区 


ee— 防 炎 墙 


| 
全 上 国 :an 
(内 网 


图 11-4 传统 意义 上 的 防火 墙 


防火 墙 通过 审查 经 过 堡垒 主机 的 每 一 个 数据 包 , 判断 它 是 否 匹 配 事先 设置 的 过 滤 规 则 (又 
称 访问 控制 列表 (Access Control List，ACL)。 如 满足 ， 根 据 控制 机 制 做 出 相应 的 动作 ， 不 满 
足 则 将 数据 包 丢 弃 ， 以 保护 网 络 的 安全 。 

防火 墙根 据 ACL 对 数据 包 进 行 匹 配 操作 时 ， 有 两 种 基本 策略 。 第 一 种 ， 除 非 规则 指明 
的 数据 包 人 允许 通过 ， 其 余数 据 包 均 被 禁止 通过 ， 这 种 规则 被 称 为 限制 策略 。 第 二 种 ， 除 非 规 
则 指明 的 数据 包 禁 止 通过 ， 其 余数 据 包 均 允许 通过 ， 这 种 规则 被 称 为 宽松 策略 。 为 了 提高 安 
全 性 ， 通 常 防火 墙 均 采 用 限制 策略 ， 但 限制 策略 配置 过 程 相对 复杂 一 些 。 
11.2.2 ”防火 墙 的 功能 及 其 局 限 性 

通过 在 网 络 中 部 署 防火 墙 ， 可 以 实现 以 下 功能 。 

1. 隐藏 内 部 网 络 

防火 墙 为 用 户 的 内 部 网 络 创 建 了 一 个 可 保护 的 边界 ， 并 且 隐 藏 了 内 部 网 络 的 一 些 信息 以 
增加 保密 性 。 当 入 侵 者 从 外 部 测试 用 户 的 内 部 网 络 时 ， 只 能 看 到 防火 墙 ， 而 内 部 网 络 的 拓扑 、 
布局 等 信息 都 将 被 屏蔽 。 防 火 墙 通过 提高 认证 功能 和 对 网 络 加 密 来 限制 网 络 信息 在 向 外 部 传 
输 过 程 中 暴露 ， 并 可 限制 从 外 部 发 起 的 攻击 。 

2. 控制 内 部 网 络 对 外 部 网 络 的 访问 

该 功能 分 为 两 方面 : 一 方面 是 可 以 控制 内 网 用 户 对 外 部 一 些 非 法 或 者 受 限 网 络 的 访问 ， 
另 一 方面 是 控制 内 网 用 户 是 否 可 以 连接 到 外 部 网 络 。 前 者 是 通过 对 外 部 正 或 者 网 址 的 控制 来 
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实现 的 ， 后 者 是 通过 对 内 部 用 户 的 中 控制 来 实现 的 。 

3. 控制 外 部 网 络 用 户 对 内 部 网 络 的 访问 

该 功能 也 分 为 两 方面 : 一 方面 是 只 允许 外 部 用 户 访问 本 地 网 络 中 的 某 些 主机 ， 另 一 方面 
是 只 允许 外 部 用 户 中 指定 的 用 户 访问 本 地 网 络 。 前 者 是 通过 控制 本 地 卫 来 实现 的 , 后 者 通过 
控制 外 部 卫 来 实现 。 

4. 监视 网 络 安全 ， 提 供 安全 日 志 并 预警 


这 是 防火 墙 最 主要 的 作用 之 一 ， 根 据 防火 增 提 供 的 日 志 ， 可 以 判断 是 否 有 异常 的 连接 请 
求 ， 对 于 可 疑 的 网 络 操作 ， 如 多 次 连续 的 失败 请 求 等 ， 则 需 注意 是 否 是 入 侵 者 开始 的 试探 性 
攻击 。 

5. 缓解 IP 地 址 空间 紧张 问题 


内 部 网 络 在 连接 到 Internet 时 , 可 能 会 获得 比较 少 的 几 个 外 部 网 络 卫 地 址 (又 称 公 网 了 P)， 
可 以 通过 防火 墙 的 网 络 地 址 转换 (Network Address Translation，NAT) 功 能 ， 将 有 限 的 卫 地址 
动态 或 静态 与 内 部 的 卫 地 址 对 应 起 来 ， 这 种 办 法 可 以 缓解 地 址 空间 不 足 的 问题 。 

6. 对 内 部 用 户 的 Internet 访问 进行 审计 和 记录 


防火 墙 是 审计 和 记录 Intemet 使 用 情况 的 一 个 最 佳 地 点 。 管 理 员 可 以 在 此 对 Intemet 的 
使 用 情况 进行 了 解 ， 查 出 潜在 的 带宽 瓶颈 位 置 ， 并 及 时 对 Intemet 的 使 用 情况 进行 调整 。 
7. 引出 DMZ(Demilitarizde Zone， 非 军事 区 ， 又 称 中 立 区 ) 


从 防火 墙 可 以 连接 到 一 个 单独 的 网 段 上 ， 即 DMZ 区 ， 并 在 此 部 署 WWW 服务 器 和 FTP 
等 服务 器 ， 将 其 作为 向 外 部 发 布 内 部 信息 的 地 点 。 
除了 上 面 的 功能 外 ， 某 些 防火 墙 还 具备 一 些 流量 控制 和 抵御 DoS 攻击 的 功能 。 
选择 网 络 安全 设备 时 ， 配 备 并 正确 配置 防火 墙 ， 是 保障 网 络 安 全 的 基本 要 求 。 但 并 非 有 
了 防火 墙 就 可 以 高 枕 无 忧 。 传 统 防 火 墙 存在 以 下 诸多 局 限 性 。 
e 防火 墙 不 能 防范 不 经 过 防火 墙 的 攻击 ， 也 就 是 说 ， 不 经 过 防火 墙 的 数据 ， 防 火 墙 无 
法 检查 、 防 护 。 
e 防火 墙 不 能 解决 来 自 内 部 网 络 的 攻击 和 安全 问题 。 防 火 墙 可 以 设计 为 既 防 外 也 防 内 ， 
内 外 都 不 可 信 ， 但 很 多 时 候 ， 因 为 实施 难度 以 及 用 户 使 用 方便 性 等 问题 ， 将 防火 墙 
配置 为 上 只 防护 外 网 的 方式 。 
e 防火 墙 不 能 防止 策略 配置 不 当 或 错误 配置 引起 的 安全 威胁 。 防 火 墙 是 一 个 被 动 的 安 
全 策略 执行 设备 ， 就 像 门卫 一 样 ， 要 根据 政策 规定 来 执行 安全 ， 而 不 能 自作 主张 。 
e 防火 墙 不 能 防止 可 接触 的 ( 即 物理 的 ) 人 为 或 自然 的 破坏 。 防 火 墙 是 一 个 安全 设备 ,但 
防火 墙 本 身 必须 存在 于 一 个 安全 的 地 方 。 
e 防火 墙 不 能 防止 利用 标准 网 络 协议 中 的 缺陷 进行 的 攻击 。 一 旦 防火 墙 准许 某 些 标准 
网 络 协议 ， 防 火 墙 不 能 防止 利用 该 协议 中 的 缺陷 进行 的 攻击 。 
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e 防火 墙 不 能 防止 利用 服务 器 系统 漏洞 进行 的 攻击 。 攻 击 者 通过 防火 墙 允许 的 访问 端 
口 对 该 服务 器 的 漏洞 进行 攻击 ， 防 火 墙 无 法 阻止 。 

e 防火 墙 不 能 防止 受 病毒 感染 的 文件 的 传输 。 防 火 墙 本 身 并 不 具备 查 杀 病毒 的 功能 ， 
即使 集成 了 第 三 方 的 防 病毒 软件 ， 也 没有 一 种 软件 可 以 查 杀 所 有 的 病毒 。 

e 防火 墙 不 能 防止 数据 驱动 式 的 攻击 。 当 有 些 表面 看 来 无 害 的 数据 邮寄 或 拷贝 到 内 部 
网 的 主机 上 并 执行 时 ， 可 能 会 发 生 数据 驱动 式 的 攻击 ， 防 火 墙 无 法 过 滤 这 类 数据 。 

e 防火 墙 不 能 防止 内 部 的 汇 密 行为 。 如 防火 墙 所 保护 的 内 网 用 户主 动 泄密 ， 防 火 墙 就 
无 能 为 力 。 

e 防火 墙 不 能 防止 本 身 的 安全 漏洞 的 威胁 。 防 火 墙 保护 别人 有 时 却 无 法 保护 自己 ， 目 
前 还 没有 厂商 绝对 保证 防火 墙 不 会 存在 安全 漏洞 ， 因 此 对 防火 墙 也 必须 提供 某 种 安 
全 保护 。 


11.2.3 ”防火 墙 的 分 类 
按 不 同 的 分 类 方法 ， 防 火 墙 可 分 为 多 种 不 同类 型 。 
1. 按 存在 形式 划分 


按 存在 形式 的 不 同 ， 防 火 墙 可 以 分 为 软件 防火 墙 、 硬 件 防 火 墙 及 芯片 级 防火 墙 。 

(1) 软件 防火 墙 

软件 防火 墙 运行 于 特定 的 计算 机 上 ， 它 需要 客户 预先 安装 好 计算 机 操作 系统 ， 一 般 来 说 
这 人 台 计 算 机 就 是 整个 网 络 的 网 关 。 软 件 防火 墙 就 像 其 他 的 软件 产品 一 样 需 要 先 在 计算 机 上 安 
装 并 做 好 配置 才 可 以 使 用 。 防 火 墙 三 商 中 做 网 络 版 软件 防火 墙 最 出 名 的 莫 过 于 以 色 列 的 
Checkpoint。 使 用 这 类 防火 墙 ， 需 要 网 管 对 所 工作 的 操作 系统 平台 比较 熟悉 。 

(2) 硬件 防 火 墙 

这 里 说 的 硬件 防火 墙 是 指 所 谓 的 “硬件 防火 墙 ”。 之 所 以 加 上 “所 谓 ” 二 字 是 针对 芯片 
级 防火 墙 而 言 的 ， 它 们 的 最 大 差别 在 于 是 否 基 于 专用 的 硬件 平台 。 目 前 市 场 上 大 多 数 防 火 增 
都 是 这 种 所 谓 的 硬件 防火 墙 ， 它 们 都 基于 PC 架构 ， 就 是 说 ， 它 们 和 普通 的 家 庭 用 的 PC 没有 
太 大 区 别 。 在 这 些 PC 架构 计算 机 上 运行 一 些 经 过 裁剪 和 简化 的 操作 系统 , 最 常用 的 是 Unix、 
Linux 和 FreeBSD 系统 。 值 得 注意 的 是 ， 由 于 此 类 防火 墙 采 用 的 依然 是 别人 的 内 核 ， 因 此 依 
然 会 受到 OS( 操 作 系统 ) 本 身 的 安全 性 影响 。 

传统 硬件 防火 墙 一 般 至 少 应 具备 三 个 端口 ， 分 别 接 内 网 、 外 网 和 DMZ， 当 前 新 的 硬件 
防火 墙 往往 扩展 了 端口 ， 常 见 四 端口 防火 墙 一 般 将 第 四 个 端口 作为 配置 口 、 管 理 端口 。 很 多 
防火 墙 还 可 以 进一步 扩展 端口 数量 。 

(3) 芯片 级 防火 墙 

芯片 级 防火 墙 基于 专用 的 硬件 平台 及 专用 的 操作 系统 。 专 用 的 ASIC 芯片 促使 它们 比 其 
他 的 防火 墙 速度 更 快 ， 处 理 能 力 更 强 ， 性 能 更 高 。 这 类 防火 墙 的 知名 三 商 有 NetScreen、 
FortiNet、Cisco 等 。 这 类 防火 墙 由 于 是 专用 操作 系统 ， 因 此 本 身 的 漏洞 比较 少 ， 但 价格 相对 
比较 高 昂 。 
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2. 按 过滤 原 理 划 分 


按 对 数据 包 的 过 滤 原 理 划 分 ， 防 火 墙 可 以 分 为 “ 包 过 滤 型 ”和 “应 用 代理 型 ”两 大 类 。 
前 者 以 Checkpoint 防火 墙 和 美国 Cisco 公司 的 PIX 防火 墙 为 代表 ， 后 者 以 美国 NAI 公司 的 
Gauntlet 防火 墙 为 代表 。 

(1) 包 过 滤 (Packet Filtering) 防 火 墙 

包 过 滤 型 防火 墙 工 作 在 网 络 层 和 传输 层 ， 它 根据 数据 包头 源 地 址 、 目 的 地 址 、 端 口号 和 
协议 类 型 等 标志 确定 是 否 允许 数据 包 通 过 。 只 有 满足 过 滤 条 件 的 数据 包 才 被 转发 到 相应 的 目 
的 地 ， 其 余数 据 包 则 被 丢弃 。 

包 过 滤 方 式 是 一 种 通用 、 廉 价 和 有 效 的 安全 手段 。 通 用 是 指 因 为 它 不 是 针对 各 个 具体 的 
网 络 服务 采取 特殊 的 处 理 方式 ， 适 用 于 所 有 网 络 服务 。 廉 价 是 指 大 多 数 路 由 器 都 提供 数据 包 
过 滤 功 能 ， 所 以 这 类 防火 墙 多 数 是 由 路 由 器 集成 的 。 有 效 是 指 它 能 很 大 程度 上 满足 绝 大 多 数 
企业 的 安全 要 求 。 

在 防火 墙 技术 发 展 过 程 中 ， 包 过 滤 技 术 出 现 了 两 种 不 同 版 本 ， 称 为 第 一 代 静 态 包 过 滤 和 
第 二 代 动 态 包 过 滤 。 

第 一 代 静 态 包 过 滤 防 火 墙 几乎 与 路 由 器 同时 产生 ， 它 是 根据 定义 好 的 过 滤 规 则 审查 每 个 
数据 包 ， 以 便 确 定 其 是 否 与 某 一 条 包 过 滤 规 则 匹配 。 过 滤 规 则 基于 数据 包 的 报头 信息 进行 制 
订 。 报 头 信息 中 包括 源 卫 地址、 目标 下地 址 、 源 端口 号 、 目 的 端口 号 等 。 

静态 包 过 滤 防 火 墙 配置 ACL 的 格式 为 : 


permitldeny sourceip sourceport destip destport direction 


permit 表示 允许 ( 某 动作 )，deny 表示 禁止 ( 某 动作 )。 

direction 表示 方向 ， 值 为 “in” 表 示 进 入 (从 外 网 到 内 网 )，“out” 表 示 出 去 (从 内 网 到 
外 网 )。 

利用 此 类 防火 墙 ， 内 网 用 户 可 以 访问 外 网 的 Web 服务 ， 典 型 的 配置 过 程 如 下 ， 这 里 假 
定 都 使 用 TCP 协议 。 

首先 ， 需 要 配置 一 条 ACL， 使 得 内 网 用 户 可 以 发 起 向 外 网 的 连接 ， 如 图 11-5 所 示 。 


图 11-5 允许 内 网 发 起 向 外 网 的 80 端口 TCP 连接 的 ACL 


这 条 ACL 中 ， 源 人 PP 为 *( 有 的 设备 用 0.0.0.0 表示 )， 表 示人 允许 所 有 内 网 用 户 访问 外 网 的 
Web 服务 。 因 向 外 发 起 TCP 连接 时 ， 源 端口 又 是 不 固定 的 ， 由 操作 系统 临时 分 配 一 个 范围 
为 1024~65535 的 值 ， 因 而 这 条 ACL 中 源 端 口 为 *( 有 的 设备 用 0 表示 )， 表 示人 允许 所 有 源 端 口 
发 起 向 外 网 的 Web 服务 (TCP 80 端口 ) 的 连接 ， 同 样 ， 这 里 的 目的 他 也 为 *。 方 向 “出 ”表示 
是 由 内 向 外 的 连接 。 在 对 防火 墙 进行 配置 时 ， 这 条 ACL 的 写法 如 下 。 


permit 0.0.0.0 0 0.0.0.0 80 out 


然后 ， 需 要 配置 一 条 ACL,， 使 得 外 网 Web 服务 器 可 以 向 内 网 用 户 发 起 Web 请 求 连接 对 
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应 的 确认 连接 ， 如 图 11-6 中 深 色 部 分 所 示 。 需 要 注意 的 是 ， NA 
是 不 确定 的 ， 范 围 为 1024~65535， 因 而 第 二 条 ACL 中 ， 向 内 网 用 户 发 起 的 确认 连接 中 ， 
的 端口 也 必须 为 1024~65535。 


允许 3 80 出 


E 1024- 
区 本 于 号 司 证 号 辐 证 三国 | 下 浊 攻 下 
图 11-6 允许 外 网 发 起 向 内 网 确认 连接 的 ACL 
第 二 条 ACL 的 写法 是 : 
permit 0.0.0.0 80 0.0.0.0 1024-65535 in 


有 了 这 两 条 ACL， 即 可 实现 内 网 用 户 访问 外 网 的 Web 服务 ， 且 外 网 Web 服务 器 可 以 向 
内 网 用 户 发 起 确认 连接 。 然 而 ， 观 看 这 两 条 ACL 可 以 发 现 ， 其 中 第 二 条 会 导致 内 网 用 户 大 
范围 的 端口 4024-65535) 都 被 防火 墙 打 开 ， 这 显然 是 非常 不 安全 的 做 法 。 这 是 第 一 代 静 态 包 
过 滤 防 火 墙 的 致命 缺陷 ， 事 实 上 ， 目 前 已 不 存在 作为 单纯 的 防火 墙 产品 出 现 的 静态 包 过 滤 防 
火 墙 ， 而 均 被 动态 包 过 滤 防 火 墙 所 取代 。 

第 二 代 动 态 包 过 滤 防 火 墙 采用 动态 设置 包 过 滤 规 则 的 方法 ， 避 免 了 静态 包 过 滤 所 具有 的 
问题 。 这 种 技术 后 来 发 展 成 为 状态 检测 (Stateful Inspection) 技 术 。 采 用 这 种 技术 的 防火 墙 对 通 
过 其 建立 的 每 一 个 连接 都 进行 跟踪 ， 建 立 相 应 的 状态 表 ， 并 依据 状态 表 动态 地 在 过 滤 规 则 中 
增加 或 更 新 条 目 。 当 前 成 熟 的 动态 包 过 滤 防 火 墙 均 为 状态 检测 防火 墙 ， 其 中 ，Checkpoint 的 
产品 是 典型 的 成 功 案例 。 

考虑 同样 的 问题 ， 要求 允 许 内 网 用 户 访问 外 网 的 Web， 在 状态 检测 防火 墙 中 ， 只 需 设置 
一 条 与 图 11-5 相同 的 ACL 即 可 ， 无 需 开 放 其 内 网 用 户 的 大 量 端口 。 其 基本 工作 原理 是 ， 当 
内 网 用 户 向 外 网 Web 服务 器 发 起 连接 时 ， 根 据 图 11-5 的 ACL， 连 接 被 允许 ， 此 时 ， 会 在 防 
火 墙 内 建立 一 个 状态 表 ， 以 描述 该 内 网 用 户 与 外 网 Web 服务 器 的 连接 状态 。 当 外 网 Web 服 
务 器 向 该 内 网 用 户 发 起 Web 服务 请 求 的 确认 连接 时 , 根据 状态 表 的 内 容 , 该 请 求 将 被 允许 操 
作 ， 而 无 需 匹 配 其 他 ACL。 简 言 之 ， 状 态 检 测 防 火 墙 在 判断 数据 包 是 否 允 许 通 过 时 ， 依 据 的 
不 仅仅 是 ACL 还 有 状态 表 , 或 者 说 状态 检测 防火 墙 对 数据 包 进行 判断 时 , 在 ACL 的 基础 上 ， 
还 要 查看 各 个 数据 包 之 间 的 联系 ， 如 图 11-7 所 示 。 


状态 检测 


判断 依据 
图 11-7 ”状态 检测 防火 墙 需要 了 解 多 个 数据 包 之 间 的 联系 
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包 过 滤 防 火 墙 的 优点 是 不 用 改动 客户 机 和 主机 上 的 应 用 程序 ， 因 为 它 工作 在 网 络 层 和 传 
输 层 ， 与 应 用 层 无 关 。 其 弱点 主要 在 于 ， 过 滤 判 别 的 依据 只 是 网 络 层 和 传输 层 的 有 限 信 息 ， 
对 各 种 具体 应 用 的 安全 需求 不 能 充分 满足 。 其 次 ， 在 部 分 包 过 滤 防 火 墙 产品 中 ， 过 滤 规 则 的 
数目 是 有 限制 的 ， 而 且 随 着 规则 数目 的 增加 ， 性 能 会 受到 较 大 影响 。 由 于 缺少 上 下 文 关联 信 
息 ， 包 过 滤 防 火 墙 不 能 有 效 地 过 滤 如 UDP、RPC( 远 程 过 程 调用 ) 一 类 的 协议 。 此 外 ， 大 多 数 
包 过 滤 防 火 墙 中 缺少 审计 和 报警 机 制 ， 它 只 能 依据 包头 信息 ， 而 不 能 对 用 户 身 份 进行 验证 ， 
很 容易 受到 “地 址 欺骗 型 ”攻击 。 对 安全 管理 人 员 素 质 要 求 高 ， 建 立 安 全 规则 时 ， 必 须 对 协 
议 本 身 及 其 在 不 同 应 用 程序 中 的 作用 有 较 深入 的 理解 。 因 此 ， 包 过 滤 防 火 墙 通 常 是 和 应 用 网 
关 配 合 使 用 ， 共 同 组 成 防火 墙 系统 。 

(2) 应 用 代理 (Application Proxy) 防 火 墙 

应 用 代理 防火 墙 是 工作 应 用 层 。 其 特点 是 完全 “阻隔 ”了 网 络 通信 流 ， 通 过 对 每 种 应 用 
服务 编制 专门 的 代理 程序 ， 实 现 监视 和 控制 应 用 层 通信 流 的 作用 。 在 应 用 代理 防火 墙 技术 的 
发 展 过 程 中 ， 它 也 经 历 了 两 个 不 同 的 版 本 ， 即 第 一 代 应 用 网 关 型 代理 防火 墙 和 第 二 代 自 适应 
代理 防火 墙 。 

第 一 代 应 用 网 关 (Application Gateway) 型 防火 墙 是 通过 一 种 代理 (Proxy) 技 术 参 与 一 个 
TCP 连接 的 全 过 程 。 从 内 网 发 出 的 数据 包 经 过 这 样 的 防火 墙 处 理 后 ， 就 好 像 是 源 于 防火 墙 出 
口 (外 网 ) 网 卡 一 样 ， 从 而 可 以 达到 隐藏 内 网 结构 的 作用 。 这 种 类 型 的 防火 墙 被 网 络 安全 专家 
和 媒体 公认 为 是 最 安全 的 防火 墙 。 它 的 核心 技术 就 是 代理 服务 器 技术 。 

第 二 代 自 适应 代理 (Adaptive Proxy) 型 防火 墙 是 近 几 年 才 得 到 广泛 应 用 的 一 种 新 防火 增 
类 型 。 它 可 以 结合 应 用 网 关 防 火 墙 的 安全 性 和 包 过 滤 防 火 墙 的 高 速度 的 优点 ， 在 不 损失 安全 
性 的 基础 之 上 显著 提高 应 用 代理 防火 墙 的 性 能 。 组 成 这 种 类 型 防火 墙 的 基本 要 素 有 两 个 ， 自 
适应 代理 服务 器 (Adaptive Proxy Server) 与 动态 包 过 滤器 (Dynamic Packet Filter)。 在 自 适应 代理 
服务 器 与 动态 包 过 滤器 之 间 存 在 一 个 控制 通道 。 对 防火 墙 进行 配置 时 ， 用 户 仅仅 将 所 需要 的 
服务 类 型 、 安 全 级 别 等 信息 通过 Proxy 的 相应 管理 界面 进行 设置 就 可 以 了 。 然 后 ， 自 适应 代 
理 就 可 以 根据 用 户 的 配置 信息 , 决定 是 使 用 代理 服务 从 应 用 层 代理 请 求 还 是 从 网 络 层 转发 包 。 
如 果 是 后 者 , 它 将 动态 地 通知 包 过 滤器 增 减 过 滤 规 则 , 满足 用 户 对 速度 和 安全 性 的 双重 要 求 。 

应 用 代理 防火 墙 的 突出 优点 是 安全 。 由 于 它 工 作 于 网 络 协议 层 的 最 高 层 ， 所 以 它 可 以 对 
网 络 中 任何 一 层 数据 通信 进行 筛选 保护 , 而 不 是 像 包 过 滤 那 样 , 只 是 对 网 络 层 的 数据 进行 过 滤 。 

另外 应 用 代理 防火 墙 采取 是 一 种 代理 机 制 ， 它 可 以 为 每 一 种 应 用 服务 建立 一 个 专门 的 代 
理 ， 所 以 内 外 网 络 之 间 的 通信 不 是 直接 的 ， 都 需 先 经 过 代理 服务 器 审核 ， 通 过 后 再 由 代理 服 
务 器 代为 连接 ， 内 网 、 外 网 计算 机 无 法 直接 建立 连接 ， 从 而 避免 了 入 侵 者 使 用 数据 驱动 型 攻 
击 ( 如 缓冲 区 溢出 攻击 等 ) 入 侵 内 网 。 

应 用 代理 防火 墙 的 最 大 缺点 就 是 速度 相对 比较 慢 ， 当 用 户 对 内 外 网 之 间 网 关 的 吞吐 量 要 
求 比较 高 时 ， 代 理 防火 墙 容易 成 为 内 外 部 网 络 间 的 瓶颈 。 因 为 应 用 代理 防火 墙 工作 时 ， 需 要 
为 各 种 类 型 的 网 络 服务 设置 专门 的 代理 服务 ， 不 同 的 代理 服务 为 内 网 、 外 网 用 户 建立 连接 、 
分 析 服 务 类 型 、 过 滤 服 务 数据 均 会 造成 一 定 开销 ， 因 而 给 系统 性 能 带 来 了 一 些 负面 影响 。 
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3. 按 防火 墙 部 署 位 置 划分 


按 应 用 部 署 位 置 的 不 同 , 防火 墙 可 以 分 为 边界 防火 墙 、 个 人 防火 墙 和 混合 式 防火 增 三 大 类 。 
(1) 边界 防火 墙 
这 是 最 为 典型 的 防火 墙 部 署 类 型 ， 它 们 在 内 、 外 部 网 络 的 边界 ， 用 于 对 内 网 、 外 网 实施 
隔离 ， 保 护 网 络 边界 及 内 部 网 络 。 这 类 防火 墙 一 般 都 是 硬件 类 型 的 ， 价 格 较 贵 ， 性 能 较 好 。 
边界 防火 墙 部 署 示意 图 如 图 11-8 所 示 。 
Internet 


网 络 
边界 


企业 内 网 


和 HostA HostB 


图 11-8 边界 防火 墙 部 署 示意 图 


(2) 个 人 防火 墙 

又 称 单机 防火 墙 ， 安 装 于 单 台 主机 中 ， 防 护 的 也 只 是 单 台 主机 。 这 类 防火 墙 应 用 于 广大 
的 个 人 用 户 ， 通 常 为 软件 防火 墙 ， 价 格 最 便宜 ， 性 能 也 最 差 。 

(3) 混合 式 防 火 增 

即 “ 分 布 式 防火 墙 ”， 又 称 “ 和 嵌入 式 防 火 墙 ”， 它 是 一 整套 防火 墙 系统 ， 由 若干 个 软 、 
硬件 组 件 组 成 ， 分 布 于 内 网 、 外 网 边界 和 内 网 中 各 主机 之 间 ， 既 对 内 、 外 网 之 间 通 信 进 行 过 
滤 ， 又 对 网 络 内 部 各 主机 间 的 通信 进行 过 滤 。 混 合式 防火 墙 属于 最 新 的 防火 载 类 型 ， 性 能 
好 ， 价 格 也 最 贵 。 

4. 按 体系 结构 划分 


按 体 系 结构 的 不 同 ， 防 火 增 可 分 为 双 宿主 机 防火 增 、 屏 蔽 主机 防火 墙 、 屏蔽 子 网 防火 墙 
三 种 。 
(1) 双 宿 主机 防火 墙 
又 称 为 双重 宿主 主机 防火 墙 ， 这 类 防火 墙 的 体系 结构 围绕 双重 宿主 主机 构筑 。 双 重 宿主 
主机 至 少 有 两 个 网 络 接口 。 这 样 的 主机 可 以 充当 与 这 些 接口 相连 的 网 络 之 间 的 路 由 器 ， 将 数 
据 包 从 一 个 网 络 传送 到 其 他 网 络 。 需 要 注意 的 是 ， 数 据 包 并 不 是 从 一 个 网 络 (如 外 网 ) 直 接 发 
送 到 另 一 个 网 络 (如 内 网 )。 外 网 能 与 双重 宿主 主机 通信 ， 内 网 也 能 与 双重 宿主 主机 通信 ， 但 
是 外 网 与 内 网 之 间 的 所 有 通信 必须 经 过 双重 宿主 主机 的 过 滤 和 控制 。 

(2) 屏蔽 主机 防火 墙 

屏蔽 主机 防火 墙 使 用 一 个 屏蔽 路 由 器 把 内 部 网 络 和 外 部 网 络 隔离 开 。 在 这 种 体系 结构 
中 ， 安 全 保障 由 包 过 滤 提 供 (例如 ， 过 滤 数 据 包 防止 人 们 绕 过 代理 服务 器 直接 相连 )。 这 种 体 
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系 结构 涉及 “堡垒 主 机 ”的 概念 。 堡 又 主机 位 于 内 网 ， 是 唯一 能 从 Intemet 连接 进 内 网 的 主 
机 。 任 何 外 网 的 主机 要 访问 内 网 的 服务 或 资源 ， 都 必须 先 连 接 到 这 台 主 机 。 因 此 堡垒 主机 要 
保持 更 高 等 级 的 主机 安全 。 

(3) 屏蔽 子 网 防火 墙 

屏蔽 子 网 防火 墙 添加 额外 的 安全 层 到 屏蔽 主机 防火 墙 中 ， 通 过 添加 一 个 独立 的 局 域 网 ， 
进一步 把 内 网 和 外 网 (通常 是 Interneb 隔 离开 。 屏 蔽 子 网 防火 墙 的 最 简单 的 形式 为 两 个 屏蔽 路 
| 器， 每 一 个 都 连接 到 独立 局 域 网 。 一 个 位 于 独立 局 域 网 与 内 网 之 间 ， 男 一 个 位 于 独立 局 域 
网 与 外 网 之 间 ， 这 样 就 在 内 网 与 外 网 之 间 形 成 了 一 个 “隔离 带 ”。 入 侵 这 种 防火 墙 保 护 的 内 
部 网 络 , 攻击 者 必须 通过 两 个 路 由 器 。 攻击 者 即使 入 侵 了 堡垒 主机 ， 还 必须 通过 内 部 路 由 器 。 
屏蔽 子 网 防火 墙 原理 示意 图 见 图 11-9。 


和 


外 部 路 由 器 


图 11-9 ”屏蔽 子 网 防火 墙 部 署 示意 图 


5. 按 防火 墙 实 体 组 成 划分 


按 实 体 组 成 来 划分 ， 防火墙 主 要 有 单一 主机 防火 墙 、 路 由 器 集成 式 防火 墙 和 分 布 式 防火 
省 三 种 。 

(1) 单一 主机 防火 墙 

这 是 最 为 传统 的 防火 墙 ， 独 立 于 其 他 网 络 设备 ， 位 于 网 络 边界 。 这 种 防火 墙 其 实 与 一 台 
计算 机 结构 类 似 ， 包 括 主板 、CPU、 内 存 、 硬 盘 等 基本 组 件 。 它 与 一 般 计算 机 最 主要 的 区 别 
就 是 一 般 防 火 墙 都 集成 了 两 个 以 上 的 以 太 网 卡 , 因为 它 需 要 连接 至 少 两 个 及 两 个 以 上 的 网 络 。 
其 中 硬盘 用 于 存储 防火 墙 所 用 的 基本 程序 ， 如 包 过 滤 程 序 和 代理 服务 程序 等 ， 有 的 防火 墙 还 
把 日 志 记录 也 记录 在 此 硬盘 上 。 与 我 们 平常 的 PC 机 另 一 个 重要 的 区 别 是 ， 它 要 具备 非常 高 
的 稳定 性 、 实 用 性 ， 有 具备 非常 高 的 系统 吞吐 性 能 。 

(2) 路 由 器 集成 式 防火 墙 

随 着 防火 墙 技 术 的 发 展 及 应 用 需求 的 提高 ， 原 来 作为 单一 主机 的 防火 墙 已 发 生 了 许多 变 
化 。 最 明显 的 就 是 许多 中 、 高 档 的 路 由 器 中 已 集成 了 防火 墙 功能 。 原 来 单一 主机 的 防火 墙 由 
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于 价格 非常 昂贵 ， 仅 有 少数 大 型 企业 才能 承受 得 起 ， 为 了 降低 企业 网 络 投资 ， 在 中 、 高 档 路 
由 器 中 集成 防火 墙 功 能 ， 这 样 企业 就 不 用 再 同时 购买 路 由 器 和 防火 墙 ， 大 大 降低 了 网 络 设备 
购买 成 本 。 典 型 的 路 由 器 集成 式 防火 墙 有 Cisco IOS 防火 墙 系列 ， 但 这 种 防火 墙 通常 是 较 低 
级 的 包 过 滤 型 。 

(3) 分 布 式 防火 墙 

有 的 防火 墙 不 仅 是 一 个 独立 的 硬件 实体 ， 而 是 由 多 个 软 、 硬 件 组 成 的 系统 ， 又 称 “ 分 布 
式 防 火 墙 ”。 分 布 式 防火 墙 也 不 只 是 位 于 网 络 边界 ， 而 是 作用 于 网 络 的 每 一 台 主 机 ， 对 整个 
内 部 网 络 的 主机 实施 保护 。 在 网 络 服务 器 中 ， 通 常会 安装 一 个 用 于 防火 墙 系统 的 管理 软件 ， 
在 服务 器 及 各 主机 上 安装 有 集成 网 卡 功 能 的 PCI 防火 墙 卡 ， 防 火 墙 卡 同 时 兼 有 网 卡 和 防火 墙 
的 双重 功能 。 这 样 一 个 防火 墙 系统 就 可 以 彻底 保护 内 部 网 络 。 各 主机 把 任何 其 他 主机 发 送 的 
通信 连接 都 视 为 “不 可 信 ” 的 ， 都 需要 严格 过 滤 。 而 不 像 传统 边界 防火 墙 那样 ， 仅 对 外 部 网 
络 发 出 的 通信 请 求 看 做 “不 信任 ”。 


11.3 人 侵 检 测 系统 


入 侵 检测 系统 (Intrusion Detection System，IDS) 是 一 种 主动 的 网 络 安全 防护 措施 ， 它 从 系 
统 内 部 和 各 种 网 络 资源 中 主动 采集 信息 ， 从 中 分 析 可 能 的 网 络 入 侵 或 攻击 。 对 一 个 成 功 的 入 
侵 检测 系统 来 讲 ， 它 不 但 可 使 系统 管理 员 时 刻 了 解 网 络 系统 (包含 程序 、 文 件 和 硬件 设备 等 ) 
的 任何 变更 ， 还 能 给 网 络 安全 策略 的 制订 提供 指导 。 更 为 重要 的 是 ， 它 易 管 理 、 配 置 简单 ， 
从 而 使 非 专 业 人 员 也 能 获得 安全 保障 。 而 且 ， 入 侵 检测 的 规模 还 应 根据 网 络 威胁 、 系 统 构造 
和 安全 需求 的 改变 而 改变 。 入 侵 检 测 系统 在 发 现 入 侵 后 ， 会 及 时 作出 响应 ， 包 括 切断 网 络 连 
接 、 记 录 事 件 和 报警 等 。 


11.3.1 ”入 侵 检测 系统 概述 


入 侵 不 仅 包括 攻击 者 取得 未 授权 的 系统 控制 权 ， 也 包括 收集 漏洞 信息 ， 造 成 拒绝 访问 等 
对 系统 造成 危害 的 行为 。 

入 侵 检测 是 对 入 侵 行 为 的 发 觉 。 它 通过 在 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 收集 
信息 并 对 其 进行 分 析 ， 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 

入 侵 检测 系统 指 的 是 有 能 力 检测 系统 或 网 络 状 态 改变 的 软 、 便 件 的 集合 ， 它 能 发 送 警 报 
或 采取 预先 设置 好 的 行动 来 帮助 保护 网 络 及 系统 。IDS 可 以 是 一 台 简 单 的 主机 ， 例 如 Unix / 
Linux 系统 中 的 trpdump 程序 可 以 用 来 获取 网 络 状态 。 也 可 以 是 一 个 复杂 的 系统 ， 使 用 多 台 
主机 来 帮助 捕获 、 处 理 并 分 析 网 络 流量 , 例如 Linux 系统 中 的 网 络 入 侵 检测 系统 Snort IDS 等 。 

与 其 他 安全 产品 不 同 的 是 , 入 侵 检测 系统 需要 更 智能 化 , 它 必须 将 得 到 的 数据 进行 分 析 ， 
并 得 出 有 用 的 结果 。 一 个 合格 的 入 侵 检测 系统 能 大 大 简化 管理 员 的 工作 ， 保 证 网 络 安全 的 运 
行 。 因 此 ， 入 侵 检 测 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闸门 ， 在 不 影响 网 络 性 能 的 情况 下 能 
对 网 络 进行 监测 ， 从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 保护 。 这 些 都 通过 它 执行 
以 下 任务 来 实现 。 
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e 监视 、 分 析 用 户 及 系统 活动 。 

e 系统 构造 和 弱点 的 审计 。 

e 识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 士 报警 。 

e 异常 行为 模式 的 统计 分 析 。 

e 评估 重要 系统 和 数据 文件 的 完整 性 。 

e 操作 系统 的 审计 跟踪 管理 ， 并 识别 用 户 违反 安全 策略 的 行为 。 


11.3.2 ”入 侵 检测 系统 模型 及 框架 


入 侵 检测 系统 模型 主要 分 为 以 Denning 模型 为 代表 的 早期 IDS 技术 ， 以 及 统计 学 理论 与 
专家 系统 相 结合 的 标准 化 模型 两 大 类 。 
1. IDES 


1980 年 James P.Anderson 为 美国 空军 做 的 一 份 题 为 《Computer Security Threat Monitoring 
and Surveillance， 计 算 机 安全 威胁 监控 与 监视 》 的 技术 报告 中 指出 ， 审 计 记 录 可 以 用 于 识别 
计算 机 滥用 (Misusej， 他 给 安全 威胁 进行 了 分 类 ， 第 一 次 详细 阐述 了 入 侵 检测 的 概念 。1984 
一 1986 年 ， 乔 治 敦 大 学 的 Dorothy Denning 和 SRI 公司 计算 机 科学 实验 室 的 Peter Neumann 
研究 出 了 一 个 实时 入 侵 检 测 系 统 模 型 一 一 入 侵 检测 专家 系统 (Intrusion Detection Expert 
Systems，IDES)， 该 模型 是 第 一 个 在 应 用 中 运用 了 统计 和 基于 规则 匹配 两 种 技术 的 系统 ， 是 
入 侵 检测 系统 研究 中 最 有 影响 的 一 个 系统 。1989 年 ， 加 州 大 学 戴 维 斯 分 校 的 Todd Heberlein 
写 了 一 篇 论文 《A Network Security Monitor， 网 络 安全 监控 》， 该 监控 器 用 于 捕获 TCP/IP 数 
据 包 ， 第 一 次 直接 将 网 络 流 作 为 审计 数据 来 源 ， 因 而 可 以 在 不 将 审计 数据 转换 成 统一 格式 的 
情况 下 监控 不 同 种 类 主机 ， 网 络 入 侵 检 测 系统 自 此 诞生 。 

IDES 模型 基于 这 样 的 假设 : 有 可 能 建立 一 个 框架 来 描述 发 生 在 主体 (通常 是 用 户 ) 和 客体 
(通常 是 文件 、 程 序 或 设备 ) 之 间 的 正常 的 交互 作用 。 这 个 
框架 由 一 个 使 用 规则 库 ( 规 则 库 描述 了 已 知 的 违例 行为 ) 的 
专家 系统 支持 。 这 能 防止 使 用 者 逐渐 训练 (误导 ) 系 统 把 非 
法 的 行为 当成 正常 的 来 接受 , 也 就 是 说 让 系统 “见怪 不 怪 ”。 

该 系统 包括 一 个 异常 检测 器 和 一 个 专家 系统 ， 分 别 用 


辊 廊 特 征 引 擎 


异常 检测 器 


于 异常 模型 的 建立 和 基于 规则 的 特征 分 析 检 测 。 系 统 的 框 | 要 此 最 告 P 生 | 
架 如 图 11-10 所 示 。 图 11-10 IDES 结构 框架 
2. CIDF 


为 解决 入 侵 检 测 系统 之 间 的 互 操作 性 ,一 些 国际 研究 组 织 开 展 了 标准 化 工作 。 目 前 对 IDS 
进行 标准 化 工作 的 组 织 有 两 个 : ETF 的 Intrusion Detection Working GroupQDWG) 和 Common 
Intrusion Detection Framework(CIDF)。CIDF 早期 由 美国 国防 部 高 级 研究 计划 署 (Advanced 
Research Projects Agency，ARPA) 赞 助 研 究 ， 现 在 由 CIDF 工作 组 负责 ， 该 工作 组 是 一 个 开放 
组 织 。CIDF 阐述 了 一 个 入 侵 检测 系统 QDS) 的 通用 模型 。 它 将 一 个 入 侵 检测 系统 分 为 以 下 组 
件 : 事件 产生 器 (Event Generators)， 用 玉 盒 表示 ; 事件 分 析 器 (Event Analyzers)， 用 A 盒 表 示 ; 
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响应 单元 (Response Units)， 用 R 盒 表 示 :， 事件 数据 库 (Event Databases)， 用 D 盒 表 示 。CIDF 
的 结构 框架 如 图 11-11 所 示 。 


事件 产生 器 本 1 Pp 


gido 
事件 数据 库 


图 11-11 CIDF 结构 框架 


CIDF 模型 的 工作 流程 如 下 : E 盒 通 过 传感器 收集 事件 数据 ， 并 将 信息 传送 给 A 盒 ，A 
盒 检测 滥用 模式 ，D 盒 存 储 来 自 A、E 盒 的 数据 ， 并 为 额外 的 分 析 提 供 信息 ; R 盒 从 A、E 
盒 中 提取 数据 ，D 盒 启 动 适当 的 响应 。A、E、D 以 及 及 盒 之 间 的 通信 规范 都 基于 通用 入 侵 检 
测 对 象 (Generalized Intrusion Detection Objects，GIDO)。GIDO 是 对 事件 进行 编码 的 标准 通用 
格式 。 

为 了 描述 组 件 之 间 传 送 的 信息 ， 以 及 对 这 些 信息 进行 编码 的 协议 ，CIDF 定义 了 公共 入 
侵 规 范 语 言 (Common Intrusion Specification Language，CISL)。CISL 可 以 表示 CIDF 中 的 各 种 
信息 ， 如 原始 事件 信息 、 分 析 结 果 、 响 应 提示 等 。 如 果 想 在 不 同 种 类 的 A、E、D 及 RR 盒 之 
间 实 现 互 操 作 ， 需 要 实现 对 GIDO 的 标准 化 并 使 用 CISL。 


11.3.3 ”入 侵 检测 系统 分 类 


根据 对 收集 到 的 信息 进行 识别 和 分 析 原 理 的 不 同 ， 可 以 将 入 侵 检测 分 为 异常 检测 和 滥用 
(又 称 误 用 ) 检 测 。 

异常 检测 (Anomaly Detection) 类 入 侵 检测 系统 检测 目标 行为 与 可 接受 行为 之 间 的 偏差 。 
如 果 可 以 定义 每 项 可 接受 的 行为 ， 那 么 每 项 不 可 接受 的 行为 就 应 该 是 入 侵 。 首 先 总 结 正 常 操 
作 应 该 具有 的 特征 (用 户 轮廓 )， 当 用 户 活 动 与 正常 行为 有 重大 偏离 时 即 被 认为 是 入 侵 。 如 果 
系统 错误 地 将 异常 活动 定义 为 入 侵 ， 则 称 为 误 报 (False Positive); 如 果 系 统 未 能 检测 出 真正 的 
入 侵 行为 ， 则 称 为 漏 报 False Negative)。 图 11-12 所 示 的 是 异常 检测 技术 的 模型 。 这 种 检测 模 
型 漏 报 率 低 , 误 报 率 高 。 因 为 不 需要 对 每 种 入 侵 行为 进行 定义 ， 所 以 能 有 效 检 测 未 知 的 入 侵 。 


比较 


系统 审计 用 户 轮廓 
数据 


图 11-12 异常 检测 模型 


滥用 检测 (Misuse Detection) 类 入 侵 检测 系统 检测 与 已 知 的 不 可 接受 行为 之 间 的 匹配 程 
度 。 如 果 可 以 定义 所 有 的 不 可 接受 行为 ， 那 么 每 种 能 够 与 之 匹配 的 行为 都 会 引起 告警 。 收 集 
非 正 常 操作 的 行为 特征 ， 建 立 相关 的 特征 库 ， 当 监测 的 用 户 或 系统 行为 与 库 中 的 记录 相 匹 配 
时 ， 系 统 就 认为 这 种 行为 是 入 侵 。 这 种 检测 模型 误 报 率 低 、 漏 报 率 高 。 对 于 已 知 的 攻击 ， 它 
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可 以 详细 、 准确 地 报告 出 攻击 类 型 , 但 是 对 未 知 攻 击 却 效果 有 限 , 而且 特征 库 必 须 不 断 更 新 。 
滥用 检测 模型 见 图 11-13 所 示 。 


不 匹配 


系统 审计 
数据 


图 11-13 ”滥用 检测 模型 


按照 入 侵 检 测 系统 的 检测 对 象 划分 ， 入 侵 检测 系统 可 分 为 基于 主机 的 入 侵 检测 系统 、 基 
于 网 络 的 入 侵 检 测 系统 、 分 布 式 入 侵 检测 系统 。 


1. 主机 型 入 侵 检测 系统 (Host Intrusion Detection System，HIDS) 


系统 分 析 的 数据 是 计算 机 操作 系统 的 事件 日 志 、 应 用 程序 的 事件 日 志 、 系 统 调 用 、 端 口 
调用 和 安全 审计 记录 。 主 机 型 入 侵 检测 系统 保护 的 一 般 是 所 在 的 主机 系统 ， 由 代理 (Agent) 来 
实现 ， 代 理 是 运行 在 目标 主机 上 的 小 的 可 执行 程序 ， 它 们 与 命令 控制 台 (Console) 通 信 。 

HIDS 的 优点 主要 如 下 。 

e 能 够 监视 特定 的 系统 行为 。HIDS 能 够 监视 所 有 的 用 户 登录 和 退出 ， 甚 至 用 户 所 做 的 

所 有 操作 ,日 志 里 记录 的 审计 系统 策略 的 改变 ， 关 键 系统 文件 和 可 执行 文件 的 改变 等 。 

e HIIDS 能 够 确定 攻击 是 否 成 功 。 由 于 使 用 含有 已 经 发 生 事件 的 信息 ， 它 们 可 以 比 网 

络 入 侵 检测 系统 更 加 准确 地 判断 攻击 是 否 成 功 。 
e 有 些 攻击 在 网 络 数据 中 很 难 发 现 ， 或 者 根本 没有 通过 网 络 而 在 本 地 进行 。 这 时 网 络 
入 侵 检测 系统 将 无 能 为 力 ， 只 能 借助 HDS。HIDS 的 结构 如 图 11-14 所 示 。 


目标 系统 
PE 
审计 记录 收集 方 
Pa 
审计 记录 预 处 理 C 2 
审计 记录 数 审计 记 
ll! 据 归档 /查询 录 数 据 


库 
异常 检测 | [ emten 
了 
安全 知 员 接口 


图 11-14 HIDS 结构 


HIDS 的 缺点 主要 是 : 一 方面 HIDS 安装 在 需要 保护 的 设备 上 ， 这 会 降低 应 用 系统 的 效 
率 。 它 依赖 于 服务 器 固有 的 日 志和 监视 能 力 ， 如 果 服 务 嚣 没有 配置 日 志 功 能 ， 则 必须 重新 配 
置 ， 此 外 全 面部 署 HIDS 的 代价 太 大 ， 维 护 升级 不 方便 。 
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2. 网 络 型 入 侵 检测 系统 (Network Intrusion Detection System，NIDS) 


系统 分 析 的 数据 是 网 络 上 的 数据 包 。 网 络 型 入 侵 检 测 系统 担负 着 保护 整个 网 段 的 任务 ， 
基于 网 络 的 入 侵 检测 系统 由 遍及 网 络 的 采集 器 组 成 ， 采 集 器 是 一 台 将 以 太 网 卡 置 于 混杂 模式 
的 计算 机 ， 用 于 嗅 探 网 络 上 的 数据 包 。 探 测 器 按 一 定 的 规则 从 网 络 上 捕获 与 安全 事件 相关 的 
数据 包 ， 然 后 传递 给 分 析 引 擎 进行 安全 分 析 判 断 。 分 析 引 擎 从 采集 器 上 接收 到 数据 包 后 结合 
入 侵 特 征 规则 库 进 行 分 析 ， 并 把 分 析 的 结果 传递 给 配置 构造 器 。 配 置 构造 器 按 分 析 引 擎 器 的 
分 析 结 果 构 造 出 采集 器 所 需要 的 配置 规则 。 一 旦 检测 到 了 攻击 行为 ，NIDS 的 响应 模块 就 做 
出 适当 的 响应 ， 比 如 报警 、 切 断 相关 用 户 的 网 络 连接 等 。 不 同 入 侵 检测 系统 在 实现 时 采用 的 
响应 方式 也 可 能 不 同 ， 但 通常 都 包括 通知 管理 员 、 切 断 连接 、 记 录 相 关 的 信息 以 提供 必要 的 
法 律 依据 等 。 

NIDS 的 优点 是 : 成 本 低 ， 可 以 检测 到 HIDS 检测 不 到 的 攻击 行为 ， 入 侵 者 消除 入 侵 证 
据 困难 ， 不 影响 操作 系统 的 性 能 ， 架 构 网 络 型 入 侵 检测 系统 简单 。 其 缺点 是 : 如果 网 络 流量 
很 大 ， 可 能 会 丢失 许多 封包 ， 容 易 让 入 侵 者 
有 机 可 乘 ， 无 法 检测 加 密 的 封包 ;无 法 直接 
检测 出 对 主机 的 入 侵 。 需 要 注意 的 是 ，NIDS 
只 检查 与 它 直 接连 接 的 网 段 的 通信 ， 不 能 检 
测 在 不 同 网 段 的 网 络 包 ， 或 者 说 网 络 入 侵 检 
测 系统 只 能 工作 在 共享 式 以 太 网 中 ， 而 在 交 
换 式 以 太 网 或 者 虚拟 局 域 网 (VLAN) 中 不 能 
正确 地 工作 ， 因 为 在 交换 式 以 太 网 或 者 虚拟 
局 域 风 中， 网络 数据 不 会 像 在 基于 集线器 的 图 11-15 HIDS 结构 
以 太 网 中 那样 广播 发 送 。 交 换 式 以 太 网 中 捕 
获 网 络 数据 通常 采用 配置 交换 机 的 镜像 端口 的 方式 来 实现 。NIDS 的 结构 见 图 11-15 所 示 。 

3. 分 布 式 入 侵 检测 系统 (Distributed Intrusion Detection System，DIDS) 


网 络 主机 网络 主机 


无 论 是 NIDS 还 是 HIDS， 无 论 采 用 滥用 检测 技术 还 是 异常 检测 技术 ， 在 整个 数据 处 理 
过 程 中 ， 包 括 数 据 的 收集 、 预 处 理 、 分 析 、 检 测 以 及 检测 到 入 侵 行为 后 采取 的 相应 措施 ， 都 
由 单个 监控 设备 或 者 监控 程序 完成 。 在 面临 大 规模 、 分 布 式 的 应 用 环境 时 ， 传 统 的 单机 方式 
遇 到 了 极 大 的 挑战 。 在 这 种 情况 下 , 要 求 各 个 IDS 之 间 能 够 实现 高 效 的 信息 共享 和 协作 检测 。 
在 大 范围 网 络 中 部 署 有 效 的 IDS 推动 了 分 布 式 入 侵 检测 系统 的 诞生 和 不 断 发 展 。 在 分 布 式 入 
侵 检测 系统 中 ， 不 仅 数 据 收集 组 件 是 分 布 的 ， 数 据 处 理 组 件数 量 也 应 与 网 络 中 被 监测 主机 的 
数量 成 正比 。 数 据 处 理 组 件 要 处 理 众多 数据 收集 组 件 发 送 来 的 数据 ， 因 此 ， 要 有 较 强 的 处 理 
能 力 和 网 络 吞 吐 能 力 。DIDS 一 般 具 有 图 11-16 所 示 的 结构 。 
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全 局 检测 器 及 攻击 特 
ee 征 库 
攻击 特 | | 攻击 特 
征 库 征 库 
数据 采集 器 数据 采集 器 
Sensor-l | Sensorn 


图 11-16 DIDS 结构 


分 布 式 入 侵 检 测 系统 在 网 络 上 多 个 检测 点 部 署 具有 简单 检测 功能 的 检测 代理 ， 并 在 网 络 
较 安 全 的 地 方 部 署 一 个 全 局 检测 代理 。 这 种 结构 的 特点 是 将 部 分 检测 功能 由 中 心 检测 器 下 放 
到 局 部 检测 代理 ， 局 部 检测 代理 能 够 完成 大 部 分 本 地 事件 的 简单 检测 功能 ， 而 将 本 地 检测 代 
理 无 法 完成 检测 的 可 疑 事件 上 传 给 全 局 检测 代理 ， 所 以 大 量 的 入 侵 事 件 不 必 在 网 络 上 传输 ， 
这 就 大 大 缓解 了 因 局 部 检测 代理 和 全 局 检测 器 之 间 相 互通 信 而 对 网 络 带宽 的 大 量 占用 情况 ， 
也 降低 了 因 部 署 检测 系统 而 对 网 络 系统 本 身 性 能 造成 的 影响 。 由 于 全 局 检测 器 能 够 收集 到 多 
个 检测 代理 报告 的 可 疑 入 侵 事件 ， 所 以 它 能 够 在 更 高 的 层次 上 完成 分 布 式 、 协 同 式 的 攻击 检 
测 。 在 系统 本 身 的 安全 方面 ， 由 于 各 检测 代理 能 够 独立 地 进行 本 地 检测 ， 任 何 一 个 检测 代理 
遭 到 攻击 都 不 会 影响 其 他 检测 代理 的 正常 工作 ， 增 加 了 系统 的 健壮 性 ， 所 以 未 来 入 侵 检 测 技 
术 发 展 的 方向 是 采用 基于 代理 的 分 布 式 入 侵 检 测 技术 。 


11.3.4 ”入 侵 检测 系统 部 署 


入 侵 检测 系统 的 部 署 ， 应 当 遵循 以 下 儿 个 步骤 。 
1. 定义 IDS 的 目标 


不 同 的 网 络 应 用 环境 应 当 使 用 不 同 的 配置 规则 ， 所 以 用 户 在 配置 入 侵 检 测 系 统 前 应 先 明 
确 自己 的 目标 ， 建 议 从 如 下 几 个 方面 进行 考虑 。 

e 网 络 拓扑 需求 。 分 析 网 络 拓扑 结构 ， 需 要 监控 什么 样 的 网 络 ， 是 交换 式 网 络 还 是 共 
享 式 网 络 。 是 否 需 要 同时 监控 多 个 网 络 ， 多 个 子 网 是 交换 机 连接 还 是 通过 路 由 器 /网 
关连 接 。 选 择 网 络 入 口 点 , 需要 监控 网 络 中 的 哪些 数据 流 一 一 PP 流 还 是 TCP/UDP 流 ， 
还 是 应 用 层 的 各 种 数据 包 。 分 析 关 键 网 络 组 件 、 网 络 大 小 和 复杂 度 

e 安全 策略 需求 。 是 否 限 制 Telnet、SSH、HTTP、HTTPS 等 服务 管理 访问 。Telnet 登 
录 是 否 需 要 登录 密码 。 安 全 Shell(SSHJ 认 证 机 制 是 否 需要 加 强 ， 是 否 允 许 从 非 管理 口 
(如 以 太 网 口 ， 而 不 是 Console 端口 ) 进 行 设备 管理 。 

e IDS 的 管理 需求 。 哪 些 接 口 需要 配置 管理 服务 ,是 否 启用 Telnet 进行 设备 管理 ， 是 否 
启用 SSH 进行 设备 管理 ， 是 否 启 用 HTTP 进行 设备 管理 ， 是 否 启用 HTTPS 进行 设 
备 管 理 ， 是 否 需要 和 其 他 设备 (例如 防火 墙 等 ) 进 行 联动 。 
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2. 选择 监视 内 容 


选择 监视 的 网 络 区 域 。 在 小 型 网 络 结构 中 ， 如 果 内 部 网 络 是 可 以 信任 的 ， 那 么 只 需 
要 监控 内 部 网 络 和 外 部 网 络 的 边界 流量 。 
选择 监视 的 数据 包 的 类 型 。 入 侵 检测 系统 可 事先 对 攻击 报 文 进行 协议 分 析 ， 从 中 提 
取 亿 、TCP、UDP、ICMP 协议 头 信息 和 应 用 层 的 有 效 载 荷 数据 的 特征 ， 并 构建 特征 
匹配 规则 , 然后 根据 需求 使 用 特征 匹配 规则 对 捕获 到 的 网 络 流量 (包括 下 包 、TCP 包 、 
UDP 包 和 ICMP 包 ) 进 行 精确 检测 ， 若 规则 命中 ， 表 明 该 网 络 流量 中 包含 入 侵 。 
根据 网 络 数据 包 的 内 容 进行 检测 。 利 用 字符 串 模式 匹配 技术 对 网 络 数据 包 的 内 容 进 
行 匹 配 以 检测 多 种 方式 的 攻击 和 探测 ， 如 缓冲 区 溢出 、CGI 攻击 、SMB 检测 、 操 作 
系统 类 型 探测 等 。 例 如 ， 当 有 用 户 企图 下 载 Unix/Linux 类 系统 中 的 /etc/passwd 或 
/etc/shadow 文件 时 ，IDS 也 会 给 出 警报 ， 这 是 因为 IDS 捕捉 到 的 数据 包 的 内 容 中 含 
有 特征 字符 串 /etc/passwd 或 /etc/shadow。 

一 般 来 说 ， 不 同 的 入 侵 检测 系统 采用 不 同 的 方法 来 监视 网 络 数据 包 的 内 容 ， 例 如 可 以 采 
用 先 根 据 网 络 协议 来 选择 入 侵 特 征 规 则 进行 检测 ， 然 后 再 根据 此 协议 数据 包 中 的 字符 特征 进 
行 检 测 。 

3. 部 署 IDS 


1) 只 检测 内 部 网 络 和 外 部 网 络 边 界 流量 
这 种 情况 下 ， 入 侵 检 测 系统 部 署 在 者 
a | 服务 器 、 IDS 管理 终端 

出 口 路 由 器 或 防火 墙 的 后 面 ， 用 来 监控 三 | 
网 络 入 口 处 所 有 流入 和 流出 网 络 的 数 
据 ， 网 络 拓 扑 结构 可 按照 图 11-17 所 示 
的 方式 进行 部 署 。 Ss = 

在 图 11-17 中 ，IDS 被 部 署 在 内 部 
网 络 与 nternet 的 出 口 处 , IDS 设备 的 监 
听 口 连接 到 了 内 部 网 络 出 口 处 的 交换 机 
(Switch) 镜 像 口 上 , 从 而 可 以 捕获 到 交换 图 11-17 只 监控 网 络 边界 浏览 的 IDS 系统 部 署 
机 镜像 接口 的 网 络 流量 。 管 理 员 可 以 通 
过 命令 行 方式 (Console、Telnet 或 SSH) 或 Web 方式 (HTTP 或 HITPS) 远 程 登录 到 IDS 管理 接 
口 并 对 设备 进行 配置 管理 。 图 11-17 所 示 的 部 署 方式 不 仅 方便 了 用 户 的 使 用 和 配置 ， 也 节约 
了 投资 成 本 ， 适 合 中 小 规模 企业 的 网 络 安全 应 用 。 

2) 集中 监控 多 个 子 网 流量 

在 这 种 情况 下 ，IDS 的 部 署 见 图 11-18。 内 部 局 域 网 中 划分 了 多 个 不 同 职能 的 子 网 ， 有 
些 子 网 访问 某 些 子 网 资源 量 希望 受到 监控 和 保护 ， 本 例假 设 需 要 对 关键 子 网 LAN1 的 流量 进 
行 监控 ， 且 LAN2 子 网 放置 了 各 种 服务 器 ， 因 此 对 LAN2 的 所 有 流量 也 需要 进行 监控 。 同 时 
网 络 管理 员 要 能 够 集中 监控 网 络 的 流量 和 异常 情况 。 
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图 11-18 ”集中 监控 多 个 子 网 流量 的 IDS 系统 部 署 


管理 员 可 以 通过 安全 管理 平台 全 网 的 IDS 设备 进行 统一 的 配置 管理 、 策 略 部 署 和 安全 事 
件 监 控 ， 还 可 以 安全 管理 平台 提供 的 多 种 智能 分 析 和 管理 手段 对 收集 到 的 网 络 安全 事件 信息 
进行 处 理 ， 并 依据 处 理 结果 调整 安全 策略 和 防护 手段 ， 从 而 提高 网 络 安全 的 整体 水 平 。 


11.4 VPN 


虚拟 专用 网 (Virtual Private Network，VPN) 被 定义 为 通过 一 个 公用 网 络 (通常 是 Pntermeb 
建立 一 个 临时 的 、 安 全 的 连接 ， 是 一 条 穿 过 不 可 信 的 公用 网 络 的 安全 稳定 的 隧道 。VPN 是 对 
企业 内 部 网 的 扩展 。 

VPN 可 以 帮助 远程 用 户 、 公 司 分 支 机 构 、 商 业 伙伴 及 供应 商 同 公司 的 内 部 网 络 建立 可 信 
的 安全 连接 , 并 保证 数据 的 安全 传输 ,通过 将 数据 流转 移 到 低 成 本 的 网 络 上 , 一 个 企业 的 VPN 
解决 方案 将 大 幅度 减少 用 户 花费 在 城 域 网 和 远程 网 络 连接 上 的 费用 。 同 时 ， 这 将 简化 网 络 的 
设计 和 管理 ， 加 速 连 入 新 的 用 户 和 网 站 。 另 外 ，VPN 还 可 以 保护 现 有 的 网 络 投资 。 随 着 用 户 
的 商业 服务 不 断 发 展 ， 企 业 的 VPN 解决 方案 可 以 使 用 户 将 精力 集中 到 自己 的 生意 上 ， 而 不 
是 网 络 上 。VPN 可 用 于 不 断 增长 的 移动 用 户 的 全 球 因特网 接 入 ， 以 实现 安全 连接 : 可 用 于 实 
现 企业 网 站 之 间 安 全 通信 的 虚拟 专用 线路 ， 用 于 经 济 有 效 地 连接 到 商业 伙伴 和 用 户 的 安全 外 
联网 。 


11.4.1 VPN 概述 


VPN 是 利用 公共 网 络 基础 设施 ,通过 “隧道 ”技术 等 手段 实现 类 似 私有 专 网 的 数据 安全 
传输 。VPN 具有 虚拟 特点 ， 即 VPN 并 不 是 某 个 公司 专 有 的 封闭 线路 或 者 是 租用 某 个 网 络 服 
务 商 提供 的 封闭 线路 ， 但 同时 VPN 又 具有 专线 的 数据 传输 功能 ， 因 为 VPN 能 够 像 专线 一 样 
在 公共 网 络 上 处 理 自己 公司 的 信息 。VPN 可 以 说 是 一 种 网 络 外 包 , 企业 不 再 追求 拥有 自己 的 
专 有 网 络 ， 而 是 将 对 另 一 个 部 门 或 分 支 企业 的 网 络 访问 需求 ， 部 分 或 全 部 外 包 给 一 个 专业 公 
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司 去 做 。VPN 工作 原理 示意 图 见 图 11-19。 


图 11-19 VPN 工作 原理 示意 图 


隧道 是 一 种 利用 公 网 设施 在 一 个 网 络 之 中 的 “网 络 ” 上 传输 数据 的 方法 。 隧 道 协 议 利用 
附加 的 头 部 信息 封装 帧 ， 附 加 的 头 部 提供 了 路 由 信息 ， 因 此 封装 后 的 帧 能 够 通过 中 间 的 公用 
网 络 。 封 装 后 的 帧 所 途经 的 公用 网 络 的 逻辑 路 径 称 为 隧道 。 一 旦 封装 的 帧 到 达 了 公用 网 络 上 
的 目的 地 ， 帧 就 会 被 解除 封装 并 被 继续 送 到 最 终 目 的 地 。 

目前 很 多 单位 都 面临 着 这 样 的 挑战 ， 分 公司 、 经 销 商 、 合 作 伙 伴 、 客 户 和 外 地 出 差 人 员 
要 求 随时 经 过 公用 网 访问 公司 的 资源 。 这 些 资源 包括 : 公司 的 内 部 资料 、 办 公 OA、ERP 系 
统 、CRM 系统 、 项 目 管理 系统 等 。 安 全 接 入 互联 网 的 传统 方法 是 VPN。 尽 管 VPN 的 安装 和 
硬件 维护 需要 一 定 的 费用 ， 但 是 日 益 增长 的 远 距离 工作 和 远程 接 入 的 需求 使 VPN 变 得 十 分 

VPN 具有 以 下 优点 。 

1. 降低 成 本 


企业 不 必 租 用 长 途 专线 建设 专 网 ， 不 必 大 量 的 网 络 维护 人 员 和 设备 投资 。 利 用 现 有 的 公 
用 网 组 建 的 Intranet， 比 租用 专线 或 铺设 专线 开支 少 得 多 ， 而 且 距 离 越 远 节省 的 越 多 。 例 如 ， 
某 企 业 的 北京 与 纽约 分 部 之 间 的 连接 ， 不 太 可 能 自 铺 专线 。 当 一 个 远程 用 户 在 纽约 想 要 连 到 
北京 的 Intranet， 用 拨号 访问 时 ， 花 的 是 国际 长 途 话 费 。 而 用 VPN 技术 ， 只 需 在 纽约 和 北京 
分 别 连 接 到 当地 的 Intemet 就 实现 了 互联 ， 双 方 花 的 都 是 市 话费 及 比较 低廉 的 本 地 上 网 费用 。 

2. 容易 扩展 


网 络 路 由 设备 配置 简单 ， 无 需 增加 太 多 的 设备 ， 省 时 省 钱 。 对 于 发 展 很 快 的 企业 ， 对 
VPN 的 需求 就 更 加 迫切 。 如 果 企 业 组 建 自己 的 专用 网 ， 在 扩展 网 络 分 支 时 ， 考 虑 到 网 络 的 容 
量 ， 架 设 新 链 路 ， 增 加 互联 设备 ， 升 级 设备 等 。 而 实现 VPN 后 则 方便 得 多 ， 只 需 连接 到 公 
用 网 上 ， 对 新 加 入 的 网 络 终端 在 逻辑 上 进行 设置 ， 也 不 需要 考虑 公用 网 的 容量 问题 、 设 备 问 

3. 完全 控制 主动 权 


VPN 上 的 设施 和 服务 完全 掌握 在 企业 手中 。 例 如， 企业 可 以 把 拨号 访问 交 给 网 络 服务 提 
供 商 (Network Service Provider，NSP) 去 做 ， 自 己 负责 用 户 的 查验 、 访 问 权 、 网 络 地 址 、 安 全 
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性 和 网 络 变化 管理 等 重要 工作 。VPN 通过 采用 “隧道 ” 技术， 并 在 IETF(ntemet Engineering 
Task Force，Internet 工程 工作 组 ) 制 定 的 IPSecGP Security， 卫 协议 安全 ) 统 一 标准 下 ， 在 公众 
网 中 构造 企业 的 安 人 全、 机密、 顺畅 的 专用 链 路 。 


11.4.2 ”VPN 类 型 


按照 不 同 分 类 方法 ，VPN 可 分 为 不 同类 型 。 

(1) 按 应 用 方式 分 类 ，VPN 有 两 种 基本 类 型 : 拨号 VPN 与 专用 VPN。 

拨号 VPN 为 移动 用 户 和 远程 办 公用 户 提 供 了 对 公司 企业 网 的 远程 访问 。 这 是 当今 最 常 
见 的 一 种 VPN 部 署 形式 ,主要 是 基于 L2F 协议 。 拨 号 VPN 使 多 个 不 同 领域 的 用 户 都 能 通过 
公共 网 络 或 者 Internet 获得 安全 的 通路 ， 以 访问 其 企业 内 部 网 络 。 

专用 VPN 以 多 个 用 户 和 比 拨号 VPN 高 速 的 连接 为 特征 。 有 多 种 形式 的 专用 VPN 业务 ， 
但 最 常见 的 是 在 人 P 网 上 建立 的 IP VPN 业务 。 专 用 VPN 提供 了 公司 总 部 与 公司 分 部 、 远 程 
分 支 办 事 处 以 及 Extranet 用 户 的 虚拟 点 对 点 连接 。 

完整 的 VPN 解决 方案 通常 把 拨号 VPN 和 专用 VPN 组 合 在 一 起 ， 以 满足 不 同 用 户 的 使 

(2) 按 应 用 平台 分 类 VPN 可 分 为 软件 平台 VPN、 专 用 硬件 平台 VPN 以 及 辅助 硬件 平台 
VPN。 

软件 平台 VPN 用 于 对 数据 连接 速率 要 求 不 高 ， 对 性 能 和 安全 性 需求 不 强 时 。 可 以 利用 
一 些 软件 公司 所 提供 的 完全 基于 软件 的 VPN 产品 实现 简单 的 VPN 功能 。 

使 用 专用 硬件 平台 的 VPN 设备 可 以 满足 企业 和 个 人 用 户 对 提高 数据 安全 及 通信 性 能 的 
需求 , 尤其 是 从 通信 性 能 的 角度 来 看 , 指定 的 硬件 平台 可 以 完成 数据 加 密 等 对 CPU 处 理 能 力 
需求 较 高 的 功能 。 提 供 这 些 平台 的 硬件 厂商 比 较 多 ， 如 Nortel、Cisco 等 。 

辅助 硬件 平台 VPN 介 于 软件 平台 和 专用 硬件 平台 之 间 ， 辅 助 硬件 平台 的 VPN 主要 是 指 
以 现 有 网 络 设 备 为 基础 ， 再 增添 适当 的 VPN 软件 以 实现 VPN 的 功能 。 

(3) 按 构 建 VPN 的 隧道 协议 分 类 。 

可 将 VPN 分 为 二 层 VPN、 三 层 VPN。 

VPN 的 隧道 协议 可 分 为 第 二 层 隧 道 协 议 、 第 三 层 隧道 协议 。 第 二 层 隧 道 协议 最 为 典型 的 
有 PPIP、L2F、L2TP 等 ， 第 三 层 隧道 协议 有 GRE、IPSec 等 。 

第 二 层 隧道 协议 和 第 三 层 隧 道 协议 的 本 质 区 别 在 于 ， 在 隧道 里 传输 的 用 户 数据 包 被 封装 
在 哪 一 层 的 数据 包 中 。 第 二 层 隧 道 协议 和 第 三 层 隧道 协议 一 般 来 说 分 别 使 用 ， 但 合理 运用 两 
层 协 议 ， 将 具有 更 好 的 安全 性 。 

因 实 际 使 用 中 ， 需 要 通过 客户 端 与 服务 器 端的 交互 实现 认证 与 隧道 建立 ， 故 基于 二 层 、 
三 层 的 VPN 都 需要 安装 专门 的 客户 端 系统 (硬件 或 软件 )， 完 成 VPN 相关 的 工作 。 

(4) 按 服务 类 型 分 类 。 

VPN 业务 按 用 户 需 求 分 为 三 类 : Intranet VPN、Access VPN 和 Extranet VPN。 

Intranet VPN( 内 部 网 VPN) 即 企业 的 总 部 与 分 支 机 构 间 通过 公 网 构筑 的 虚拟 网 。 这 种 类 型 
的 连接 带 来 的 风险 最 小 ， 因 为 公司 通常 认为 它们 的 分 支 机 构 是 可 信 的 ， 并 将 它 作为 公司 网 络 
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的 扩展 。 内 部 网 VPN 的 安全 性 取决 于 两 个 VPN 服务 器 之 间 的 加 密 和 验证 手段 ,Intranet VPN 
结构 图 如 图 11-20 所 示 。 


Po 分 支 机 构 LAN 
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YPN 服务 器 3 广 YPN 服务 器 


图 11-20”Intranet VPN 结构 图 


Access VPN( 远 程 访问 VPN) 又 称 为 拨号 VPN( 即 VPDN)， 是 指 企业 员工 或 企业 的 小 分 支 
机 构 通 过 公 网 远程 拨号 的 方式 构筑 的 VPN。 典 型 的 远程 访问 VPN 是 用 户 通过 本 地 的 Intemet 
服务 提供 商 (Intermet Service Provider，ISP) 登 录 到 Intemet 上 ， 并 在 现在 的 办 公 室 和 公司 内 部 
网 之 间 建 立 一 条 加 密 信道 。Access VPN 结构 图 如 图 11-21 所 示 。 
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图 11-21 AccessVPN 结构 图 


Extranet VPN( 外 联网 VPN) 即 企业 间 发 生 收购 、 兼 并 或 企业 间 建 立 战略 联盟 后 ， 使 不 同 
企业 网 通过 公 网 来 构筑 的 VPN。 它 能 保证 包括 TCP 和 UDP 服务 在 内 的 各 种 应 用 服务 的 安全 ， 
如 WWW、Email、HTTP、FTP、RealAudio、 数据库 的 安全 以 及 一 些 应 用 程序 如 Java、ActiveX 
的 安全 。Extranet VPN 结构 如 图 11-22 所 示 。 
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图 11-22 ”Extranet VPN 结构 图 
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(5) 按 VPN 的 部 署 模式 分 类 。 

VPN 可 分 为 端 到 端 (Cnd-to-End) 模 式 、 供 应 商 一 企业 (Provider-to-Enterprise) 模 式 、 内 部 供 
应 商 (Intra-Provider) 模 式 。 

端 到 端 (End-to-End) 模 式 是 典型 的 由 自 建 VPN 的 客户 所 采用 的 模式 ， 最 常见 的 隧道 协议 
是 IPSec 和 PPTP。 

供应 商 一 企业 (Provider-to-Enterprise) 模 式 中 ， 隧 道 通 常 在 VPN 服务 器 或 路 由 器 中 创建 ， 
在 客户 前 端 关 闭 。 利 用 该 模式 客户 不 需要 购买 专门 的 隧道 软件 ， 而 由 服务 商 的 设备 来 建立 通 
道 并 验证 。 最 常见 的 隧道 协议 有 L2TP、L2F 和 PPTP。 

内 部 供应 商 (Intra-Providern) 模 式 中 ,服务 商 保持 了 对 整个 VPN 设施 的 控制 。 在 该 模式 中 ， 
通道 的 建立 和 终止 都 是 在 服务 商 的 网 络 设施 中 实现 的 。 客 户 不 需要 做 任何 实现 VPN 的 工作 。 


11.4.3 ”VPN 工作 原理 


VPN 是 利用 公 网 来 构建 专用 网 络 ， 它 利用 特殊 设计 的 硬件 和 软件 直接 通过 共享 的 全 网 
所 建立 的 隧道 来 完成 。 我 们 通常 将 VPN 当 作 WAN 解决 方案 , 但 它 也 可 以 简单 地 用 于 LAN。 
VPN 类 似 于 点 到 点 直接 拨号 连接 或 租用 线路 连接 ， 尽 管 它 是 以 交换 和 路 由 的 方式 工作 。 

可 以 说 ，VPN 是 Intranet 在 公用 网 络 上 的 延伸 ， 它 可 以 提供 与 专用 网 一 样 的 安全 性 、 可 
管理 性 和 传输 性 能 ,而 建设 、 运转 和 维护 网 络 的 工作 也 从 企业 内 部 的 开 部 门 剥 离 出 来 ， 交 由 
运营 商 来 负责 ， 从 而 在 公共 网 络 上 创建 一 个 安全 的 私有 连接 ,让 公司 的 远程 用 户 、 分支 机 构 、 
业务 伙伴 等 与 公司 的 企业 网 连接 起 来 ， 构 成 一 个 扩展 的 企业 网 。 

VPN 是 建立 在 实际 网 络 (或 物理 网 络 ) 基 础 上 的 一 种 功能 性 网 络 。 它 利用 公共 网 络 作 为 企 
业 骨 干 网 的 低 成 本 优势 ， 同 时 克服 公共 网 络 缺 乏 保 密 性 的 弱点 ， 在 VPN 网 络 中 ， 位 于 公共 
网 络 两 端的 网 络 在 公共 网 络 上 传输 信息 时 ， 其 信息 都 是 经 过 安全 处 理 的 ， 可 以 保证 数据 的 完 
整 性 、 真 实 性 和 私有 性 。 

VPN 是 指 在 共用 网 络 上 建立 专用 网 络 的 技术 。 之 所 以 称 为 虚拟 网 , 主要 是 因为 整个 VPN 
网 络 的 任意 两 个 节点 之 间 的 连接 并 没有 传统 专 网 建设 所 需 的 点 到 点 的 物理 链 路 ， 而 是 架构 在 
公用 网 络 服务 商 GSP) 所 提供 的 网 络 平台 之 上 的 逻辑 网 络 。 用 户 的 数据 是 通过 ISP 在 公共 网 络 
(mnterneb 中 建立 的 逻辑 隧道 (TunneD， 即 点 到 点 的 虚拟 专线 进行 传输 的 。 通 过 相应 的 加 密 和 认 
证 技术 来 保证 用 户 内 部 网 络 数据 在 公 网 上 安全 传输 ， 从 而 真正 实现 网 络 数据 的 专 有 性 。 利 用 
VPN 实现 Intranet 的 扩展 原理 如 图 11-23 所 示 。 
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图 11-23 VPN 实现 Intranet 扩展 
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建立 隧道 有 两 种 主要 的 方式 : 客户 启动 (Client-Imitiated) 方 式 或 客户 透明 
(Client-Transparent) 方 式 。 

客户 启动 方式 要 求 客户 和 隧道 服务 器 (或 网 关 ) 都 安装 隧道 软件 。 后 者 通常 都 安装 在 公司 
网 络 中 心 节点 上 。 通 过 客户 软件 初始 化 隧道 ， 隧 道 服务 器 中 止 隧道 ，ISP 可 以 不 必 支持 隧道 。 
客户 和 隧道 服务 器 只 需 建立 隧道 ， 并 使 用 用 户 ID 和 口令 或 用 数字 证 书 鉴 权 。 一 旦 隧道 建立 ， 
就 可 以 进行 通信 了 ， 如 同 ISP 没有 参与 连接 一 样 。 

另外 ， 如 果 希 望 隧道 对 客户 透明 ，ISP 就 必须 具备 允许 使 用 隧道 的 接 入 服务 器 以 及 可 能 
需要 的 路 由 器 。 客 户 首先 拨号 连接 接 入 服务 器 ， 服 务 器 必须 能 识别 这 一 连接 要 与 某 一 特定 的 
远程 点 建立 隧道 ， 然 后 接 入 服务 器 与 隧道 服务 器 建立 隧道 ， 通 过 用 户 ID 和 口令 进行 鉴 权 。 
这 样 客户 端 就 通过 隧道 与 隧道 服务 器 建立 了 直接 对 话 。 尽 管 这 一 方式 不 要 求 客户 有 专门 软件 ， 
但 客户 只 能 拨号 进入 正确 配置 的 访问 服务 器 。 
11.4.4 ”VPN 主要 技术 


在 一 个 完整 的 VPN 技术 方案 中 ， 所 涉及 的 主要 技术 包括 隧道 技术 、 密 码 技术 和 服务 质 
量 保证 技术 。 密 码 技术 详 见 第 5 章 ， 这 里 主要 介绍 隧道 技术 和 服务 质量 保证 技术 。 
1. 隧道 技术 


隧道 技术 实质 上 是 一 种 数据 封装 技术 ， 即 将 一 种 协议 封装 在 男 一 种 协议 中 传输 ， 从 而 实 
现 被 封装 协议 对 封装 协议 的 透明 性 , 保持 被 封装 协议 的 安全 特性 。 使 用 下 协议 作为 封装 协议 
的 隧道 协议 称 为 P 隧道 协议 。 利用 隧道 技术 , 理论 上 任何 协议 的 数据 都 可 以 通过 IP 网 络 传输 。 

为 了 透明 传输 多 种 不 同 网 络 层 协议 的 数据 包 ， 可 采用 以 下 两 种 方法 。 

一 种 方法 是 先 把 各 种 网 络 层 协议 (如 了、IPX 和 AppleTalk 等 ) 封 装 到 链 路 层 的 点 到 点 协 
议 (PPP) 帧 里 ， 再 把 整个 PPP 帧 装 入 隧道 协议 里 。 这 种 方法 封装 的 是 TCP/IP 协议 栈 链 路 层 的 
数据 包 ， 称 为 “第 二 层 隧道 ”。 

另 一 种 方法 是 把 各 种 网 络 层 协议 直接 装 入 隧道 协议 中 ， 由 于 封装 的 是 网 络 协 议 栈 第 三 层 
网 络 层 协议 数据 包 ， 所 以 称 为 “第 三 层 隧道 ”。 

第 二 层 隧 道 协议 主要 有 : Microsoft、3Com 和 Ascend 公司 在 PPP 基础 上 开发 的 点 到 点 隧 
道 协 议 (Point-to-Point Tunnel Protocol，PPTP)， 主 要 用 于 端 到 端的 VPN 解决 方案 。Cisco 公司 
提出 的 第 三 层 转 发 协议 (Layer 2 Forwarding，L2F) 和 第 二 层 隧 道 协议 (Layer 2 Tunneling 
Protocol，L2TP)， 主 要 用 于 基于 路 由 器 的 虚拟 专 网 组 网 方案 中 。 它 优 于 PPTP 的 一 个 特点 是 
可 以 建立 多 点 隧道 。 使 用 户 可 以 开通 多 个 VPN， 以 便 同 时 访问 Intemet 和 企业 网 络 。L2TP、 
PPTP 都 被 集成 在 Windows 操作 系统 中 ， 所 以 最 为 常用 。 

第 三 层 隧 道 协议 主要 有 耳 层 安 全 协议 GP Security，IPSec)、 移 动 卫 协议 和 虚拟 隧道 协议 
(Virtual Tunnel Protocol，VTP)。 其 中 IPSec 应 用 最 为 广泛 ， 成 为 事实 上 的 网 络 层 安全 标准 ， 
不 但 符合 现 有 的 IPv4 环境 ,同时 也 是 IPv6 环境 下 的 安全 标准 。IPSec 是 IEIF IPSec 工作 组 为 
了 在 卫 层 提供 通信 安全 而 制定 的 一 套 协议 簇 ,， 是 一 个 应 用 广泛 、 开 放 的 VPN 安全 协议 体系 ， 
工作 在 网 络 层 。IPSec 不 是 加 密 算法 或 认证 算法 ， 只 是 一 个 开放 结构 ， 定 义 了 在 四 数据 包 格 
式 中 ， 为 实现 数据 加 密 或 认证 的 相关 数据 结构 ， 为 算法 的 实现 提供 了 统一 的 体系 结构 。 不 同 
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的 加 密 算法 都 可 以 利用 人 PSec 定义 的 体系 结构 在 网 络 数据 传输 过 程 中 实施 。 

2. QoS(Quality of Service， 服 务 质 量 ) 保 证 技术 

通过 隧道 技术 和 加 密 技术 可 以 建立 一 个 具有 安全 性 、 互 操作 性 的 VPN。 但 是 该 VPN 的 
性 能 可 能 不 稳定 ， 需 要 在 VPN 隧道 运行 的 网 段 加 入 QoS 技术 。 

QoS 的 主要 指标 有 : 带宽 ， 即 网 络 提供 给 用 户 的 传输 率 ; 反应 时 间 ， 即 用 户 所 能 容忍 的 
数据 包 传输 延 时 ， 拌 动 ， 即 延 时 的 变化 ， 丢 失 率 ， 即 数据 包 技 失 的 比率 。 

QoS 机 制 具 有 通信 处 理 机 制 以 及 供应 和 配置 机 制 。 通 信 处 理 机 制 协议 体系 包括 IEEE 
802.1p、 区 分 服务 (Differentiated Service，DiffServ)、 综 合 服务 (Integrated Services，IntServ) 等 
等 。 现 有 局 域 网 大 多 数 是 基于 IEEE 802 技术 的 ，802.1p 则 为 这 些 局 域 网 提供 了 支持 Qos 的 
机 制 。 供 应 和 配置 机 制 包括 资源 保留 配置 协议 Resource Reservation Setup Protocol，RSVP)、 
子 网 带宽 管理 (Subnet Bandwidth Manager，SBM)、 策 略 机 制 和 管理 工具 等 。 供 应 机 制 指 的 是 
比较 静态 、 长 期 的 管理 任务 ， 如 网 络 设备 的 选择 、 网 络 设备 的 更 新 、 接 口 的 添加 /删除 、 拓 扑 
结构 的 改变 等 。 配 置 机 制 指 的 是 比较 动态 、 短 期 的 任务 管理 ， 如 流量 处 理 的 参数 。 


本 章 小 结 


本 章 介 绍 了 网 络 安全 相关 的 几 个 基本 方面 的 技术 。 作 为 网 络 安全 的 基石 ， 首 先 介绍 了 数 
据 加 密 技术 的 应 用 模式 ， 然 后 介绍 了 网 络 安全 体系 中 要 求 的 基础 设备 -一 防火 墙 、 入 侵 检测 
系统 。 阐 述 了 防火 增 和 入 侵 检 测 系统 的 基本 概念 、 目 的 ， 从 不 同 角度 介绍 了 这 些 安全 设备 的 
基本 工作 原理 以 及 分 类 方法 。 在 具备 安全 保障 的 前 提 下 ， 用 于 实现 将 企业 局 域 网 扩展 至 全 球 
并 的 技术 一 一 VPN， 是 当前 网 络 安全 应 用 的 热点 内 容 ， 本 章 最 后 一 节 对 其 工作 原理 、 分 类 及 
相关 关键 技术 进行 了 分 析 和 归纳 。 


一 、 填 空 题 

1. 网 络 数据 加 密 ， 通 常 分 为 链 路 加 密 、( ) 两 种 方式 。 

2. 防火 墙 的 安全 区 域 ， 通 常 分 为 外 网 、 内 网 、DMZ 区 三 个 区 域 ， 其 中 ，DMZ 区 又 称 为 
( ) 区 。 

3. 按 工 作 原 理 划 分 ， 防 火 墙 可 分 为 ( ) 和 应 用 代理 防火 墙 两 大 类 。 

4. 入 侵 检测 系统 的 两 种 经 典 模型 是 ( ) 和 CIDF。 

5. 按照 应 用 的 方式 划分 ，VPN 有 两 种 基本 类 型 : 拨号 VPN 与 ( )JVPN。 


二 、 选 择 题 


1. 端 到 端 加 密 方式 中 ， 数 据 离开 发 送 端 后 被 最 终 的 接收 端 收 到 之 前 ， 处 于 (  ) 状 态 。 
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A. 加 密 B. 明文 C. 加 密 或 明文 D. 不 确定 
2. 防火 墙 配置 中 的 ACL 指 的 是 (。”)。 
A. Access Content List B. All Content List 
C. Access Condition List D. Access Control List 
3. 包 过 滤 防 火 墙 的 主要 过 滤 依 据 是 ( )。 
A. MAC 地 址 、 端 口 、 协 议 类 型 B. 卫 地 址 、 端 口 、 协 议 类 型 
C. 域名 、 端 口 、 协 议 类 型 D. 耳 地址 、 域 名、 协议 类 型 
4. 根据 对 收集 到 的 信息 进行 识别 和 分 析 原 理 的 不 同 ， 可 以 将 入 侵 检测 分 为 ( 
A. 异常 检测 、 普 通 检测 B. 滥用 检测 、 普 通 检测 
C. 异常 检测 、 冲 突 检 测 D. 异常 检测 、 滥 用 检测 
5. 根据 服务 类 型 VPN 业务 分 为 ( 。 )VPN、Access VPN 与 Extranet VPN 三 种 。 
A. Supermet B. Intemet C. Intranet D. Subnet 
三 、 简 答题 


1. 简 述 链 路 加 密 与 端 到 端 加 密 的 主要 特点 。 

2. 防火 墙 的 主要 功能 局 限 性 是 什么 ? 

3. 包 过 滤 防 火 墙 与 应 用 代理 防火 墙 的 主要 特点 和 应 用 场合 是 什么 ? 
4. 按照 入 侵 检 测 系统 的 检测 对 象 划分 ， 入 侵 检测 系统 分 为 哪 几 类 ? 
5. 简 述 二 层 VPN 和 三 层 VPN 的 主要 区 别 。 


ye 
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随 着 相关 技术 的 不 断 成 熟 和 应 用 的 普及 ， 无 线 网 络 凭借 其 为 用 户 提 供 的 灵活 性 、 便 利 性 
等 优势 ， 被 迅速 推广 。 现 代 企业 随 着 业务 规模 的 不 断 扩大 和 对 工作 效率 提高 的 要 求 ， 越 来 越 
渴望 灵活 的 无 线 网 络 技术 能 帮 他 们 解决 问题 。 此 外 ， 基 于 建设 传统 网 络 的 繁琐 和 成 本 问题 ， 
很 多 用 户 也 希望 能 通过 无 线 网 络 技术 实现 他 们 灵活 、 迅 速 联网 的 目的 。 近 几 年 ， 无 线 网 络 已 
经 由 时 尚 转变 成 为 趋势 。 

本 章 重 点 

e 无 线 网 络 的 分 类 及 特点 

e 移动 通信 网 的 安全 特性 及 基本 防护 手段 

e。 WiFi 无线 局 域 网 的 主要 安全 威胁 、 基 本 防护 手段 


12.1 无 线 网 络 安 全 概述 


12.1.1 无 线 网 络 基 础 知识 


无 线 网 络 是 利用 无 线 电 波 作为 信息 传输 的 媒介 的 网 络 ， 无 线 网 络 摆脱 了 网 线 的 束缚 。 就 
应 用 层面 来 讲 ， 它 与 有 线 网 络 的 用 途 完全 相似 ， 两 者 的 最 大 不 同 在 于 传输 资料 的 媒介 不 同 。 
除 此 之 外 ， 无 线 意味 着 无 论 是 在 网 络 硬件 架设 ， 还 是 网 络 的 机 动 性 、 灵 活性 均 比 有 线 网 络 具 
备 明 显 优势 。 无 线 网 络 目前 主要 分 为 GSM/GPRS/CDMA/3G 无 线 上 网 、 蓝 牙 和 无 线 局 域 网 
(WLADD) 儿 种 类 型 。 

无 线 网 络 的 初步 应 用 ， 可 追溯 到 第 二 次 世界 大 战 期 间 ， 当 时 美国 陆军 采用 无 线 电 信号 做 
资料 的 传输 。 他 们 研发 出 了 一 套 无 线 电 传输 系统 ， 并 且 采 用 高 强度 的 加 密 算法 ， 得 到 美军 和 
盟 军 的 广泛 使 用 。 他 们 也 许 没 有 想到 ， 这 项 技术 会 在 数 十 年 后 的 今天 改变 我 们 的 生活 。1971 
年 ， 夏 威 夷 大 学 的 研究 员 创 造 了 第 一 个 基于 数据 包 传 输 的 无 线 电 通信 网 络 。 这 个 被 称 作 
ALOHAnet 的 网 络 ， 是 世界 上 最 早 的 无 线 局 域 网 WLAN)。 它 包括 7 台 计 算 机 ， 采 用 双向 星 
状 拓扑 横 跨 四 座 夏 威 夷 的 岛屿 , 中 心计 算 机 放置 在 瓦 胡 岛 上 。 从 这 时 开始 , 无 线 网 络 正式 诞生 。 

1990 年 ，IEEE 正式 启动 802.11 项 目 ， 无 线 网 络 技术 逐渐 走向 成 熟 。IEEE 802.11(Wi-Fi) 
标准 诞生 以 来 ， 先 后 有 802.11a、802.11b 和 802.11g 等 标准 被 制定 并 应 用 ， 目 前 ， 为 实现 高 
宽度 、 高 质量 的 无 线 网 络 服务 ，802.1ln 也 在 被 逐步 推广 。 
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2003 年 以 来 ， 无 线 网 络 市 场 热度 迅速 峰 升 ， 目 前 已 经 成 为 开 市 场 中 新 的 增长 亮点 。 由 
于 人 们 对 网 络 速度 及 方便 使 用 性 的 期 望 越 来 越 大 ， 于 是 与 电脑 以 及 移动 设备 结合 紧密 的 
Wi-Fi、CDMA/GPRS、 蓝 牙 等 技术 越 来 越 受到 人 们 的 吹捧 。 与 此 同时 ， 在 配套 产品 大 量 面世 
之 后 , 构建 无 线 网 络 所 需要 的 成 本 迅速 下 降 , 一 时 间 , 无 线 网 络 已 经 成 为 我 们 网 络 生活 的 主流 。 


12.1.2 无线 网 络 技术 


目前 ， 主 流 的 通过 无 线 网 络 连 入 Intemet 的 方式 有 两 种 。 

第 一 种 是 通过 移动 电话 卡 (SIM 卡 ), 先 连 入 移动 电话 运营 商 的 网 络 ( 基 站 ), 然后 通过 移动 
电话 运营 商 的 nternet 网 关连 入 Intemet。 这 种 方式 的 优点 是 ， 只 要 有 手机 信和 号 (移动 公司 、 联 
通 公 司 、 电 信 的 手机 信号 均 可 ) 的 地 方 ， 均 可 连 入 Intemet， 基 本 上 做 到 了 随时 随地 联网 。 但 
是 这 种 方式 目前 的 主要 问题 是 ， 网 络 带 宽 相 对 还 比较 低 ， 传 输 速度 通常 不 高 ， 且 网 络 传输 速 
度 不 稳定 ， 受 信号 质量 影响 。 

第 二 种 是 通过 WLAN(Wireless LAN， 无 线 局 域 网 ) 连 入 Intemet，Wi-Fi 是 目前 应 用 最 广 
泛 的 无 线 局 域 网 协议 。 这 种 方式 要 求 某 个 场所 已 经 通过 特定 方式 连 入 了 Intemet, 然后 在 这 个 
场所 内 发 射 无 线 信 号 ， 在 无 线 信号 范围 覆盖 内 ， 根 据 设 定 的 访问 控制 模式 ， 任 何 支 持 Wi-Fi 
的 设备 ， 比 如 台式 计算 机 、 笔 记 本 计算 机 、 手 机 ， 乃 至 游戏 机 、MP3/MP4 播放 器 ， 均 可 连 入 
Internet。 目 前 典型 的 具备 Wi-Fi 信号 的 场所 有 : 机 场 、 酒 店 、 咖 啡 厅 等 公共 场所 ， 以 及 普通 
用 户 根据 自己 的 需要 ， 在 办 公 场 所 或 家 里 自行 架设 的 无 线 局 域 网 。 这 种 无 线 上 网 的 方式 ， 通 
常 上 网 带宽 比较 高 ， 传 输 速度 相对 稳定 ， 但 上 网 受 场所 的 制约 ， 离 开 了 相应 的 场所 就 无 法 上 
网 ， 不 能 做 到 随时 随地 连 入 Intemet。 

两 种 无 线 上 网 方式 常常 被 混淆 。 比 如 ， 有 的 用 户 简单 地 理解 为 “无 线 上 网 就 是 使 用 手机 
上 网 ”， 这 个 理解 显然 是 片面 的 。“ 手 机 上 网 ”这 个 说 法 过 于 笼统 ， 并 没有 把 上 网 方式 表达 
清楚 。 因 为 手机 可 以 通过 SIM 卡 和 移动 电话 运营 商 通信 来 上 网 ， 也 可 用 通过 手机 内 置 (也 可 
通过 其 他 接口 连接 ) 的 Wi-Fi 模块 ， 连 接 附 近 的 Wi-Fi 局 域 网 来 上 网 。 同 样 的 道理 ， 人 台式 机 、 
笔记 本 电脑 或 其 他 设备 ， 都 有 两 种 上 网 方式 选择 。 台 式 机 连接 SIM 卡 上 网 模块 后 ， 也 可 以 连 
入 移动 电话 运营 商 来 连 入 Internet, 或 者 通过 台式 机 所 连接 的 Wi-Fi 无 线 网 卡 连 入 附近 的 Wi-Fi 
局 域 网 来 上 网 。 因 此 ， 我 们 在 描述 相关 问题 时 ， 需 要 注意 区 分 到 底 采 用 哪 种 上 网 方式 ， 并 对 
问题 进行 准确 、 清 晰 地 表述 。 

下 面 我 们 来 分 别 看 看 两 种 方式 相关 的 技术 。 

1.GSM、CDMA 与 3G 


目前 ， 手 机 制式 主要 包括 GSM、CDMA、3G 三 种 ， 手 机 自问 世 至 今 ， 经 历 了 第 一 代 模 
拟 制式 手机 (1G)、 第 二 代 GSM、TDMA 等 数字 手机 (2G)、 第 2.5 代 移 动 通信 技术 (CDMA) 和 
第 三 代 移 动 通信 技术 (3G)。 

GSM 全 名 为 Global System for Mobile Communications， 即 全 球 移动 通讯 系统 ,俗称 “全 
球 通 ”。GSM 是 一 种 起 源 于 欧洲 的 移动 通信 技术 标准 ， 其 开发 目的 是 让 全 球 各 地 可 以 共同 使 
用 一 个 移动 电话 网 络 标准 ， 让 用 户 使 用 一 部 手机 就 能 通行 全 球 。 我 国 于 20 世纪 90 年 代 初 引 
进 并 采用 此 项 技术 标准 ， 此 前 一 直 是 采用 蜂窝 模拟 移动 技术 ， 即 第 一 代 GSM 技术 (2001 年 
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12 月 31 日 我 国 关 闭 了 模拟 移动 网 络 )。 目 前 ， 中 国 移动 、 中 国联 通 各 拥有 一 个 GSM 网 ， 为 
世界 最 大 的 移动 通信 网 络 。GSM 系统 包括 GSM 900(900MHz)、GSM 1800(1800MHz) 及 GSM 
1900(1900MHz) 等 儿 个 频段 。 

GSM 系统 具有 防 复制 能 力 强 、 网 络 容量 大 、 手 机 号 码 资源 丰富 、 通 话 清晰 、 稳 定性 强 
不 易 受 干扰 、 信 息 灵敏 、 通 话 死角 少 、 手 机 耗 电量 低 等 重要 特点 。 

目前 我 国 主要 的 两 大 GSM 系统 为 GSM 900 及 GSM 1800， 由 于 采用 了 不 同 频率 ， 因 此 
适用 的 手机 也 不 尽 相 同 。 不 过 目前 大 多 数 手机 基本 是 双 频 手机 ， 可 以 自由 在 这 两 个 频段 间 切 
换 。 欧 洲 国家 普遍 采用 的 系统 除 GSM 900 和 GSM 1800 另外 加 入 了 GSM 1900， 手 机 为 三 频 
手机 。 在 我 国 随 着 手机 市 场 的 进一步 发 展 ， 现 也 已 出 现 了 三 频 手机 ， 即 可 在 GSM 900、GSM 
1800、GSM1900 三 种 频段 内 自由 切换 的 手机 ， 真 正 做 到 了 一 部 手机 可 以 畅游 全 世界 。 

GSM 900 发 展 的 时 间 较 早 , 使 用 的 较 多 , 而 GSM 1800 发 展 的 时 间 较 晚 。 物 理 特性 方面 ， 
前 者 频谱 较 低 ， 波 长 较 长 ， 穿 透 力 较 差 ， 但 传送 的 距离 较 远 ， 而 手机 发 射 功 率 较 强 ， 耗 电量 
较 大 ， 因 此 待机 时 间 较 短 。 而 后 者 的 频谱 较 高 ， 波 长 较 短 ， 穿 透 力 佳 ， 但 传送 的 距离 短 ， 其 
手机 的 发 射 功 率 较 小 ， 待 机 时 间 则 相应 较 长 。 

CDMA(Code Division Multiple Access) 译 为 “ 码 分 多 址 分 组 数据 传输 技术 ”， 被 称 为 第 
2.5 代 移 动 通 信 技 术 。 目 前 采用 这 一 技术 的 市 场 主要 在 美国 、 日 本 、 韩 国 等 。CDMA 手机 具 
有 话音 清晰 、 不 易 掉 话 、 发 射 功率 低 和 保密 性 强 等 特点 ， 发 射 功率 只 有 GSM 手机 发 射 功率 
的 W60， 被 称 为 “绿色 手机 ”。 更 为 重要 的 是 ， 基 于 宽带 技术 的 CDMA 使 得 移动 通信 中 视 
频 应 用 成 为 可 能 。 

CDMA 技术 的 原理 是 基于 扩 频 技术 , 即将 需 传送 的 具有 一 定 信号 带宽 信息 数据 , 用 一 个 
带宽 远大 于 信号 带宽 的 高 速 伪 随 机 码 进行 调制 ， 使 原 数据 信号 的 带宽 被 扩展 ， 再 经 载波 调制 
后 发 送出 去 。 接 收 端 使 用 完全 相同 的 伪 随 机 码 ， 与 接收 的 带宽 信号 作 相关 处 理 ， 把 宽带 信号 
换 成 原 信息 数据 的 窜 带 信号 ( 称 为 解 扩 )， 以 实现 信息 通信 。 

CDMA 的 主要 优点 是 : CDMA 中 所 提供 的 语音 编码 技术 ， 可 以 把 用 户 对 话 时 周围 环境 
的 噪音 降低 , 使 通话 更 为 清晰 ; CDMA 利用 扩 频 的 通讯 技术 , 因而 可 以 减少 手机 之 间 的 干扰 ， 
并 且 可 以 增加 用 户 的 容量 。 而 且 手机 的 功率 相对 较 低 ， 不 但 可 以 使 用 时 间 增 长 ， 更 重要 的 是 
可 以 降低 电磁 波 辐射 ， 在 一 定 程度 上 减 小 对 人 的 伤害 ;CDMA 的 带宽 可 以 进行 较 大 的 扩展 ， 
还 可 以 传输 影像 ， CDMA 具有 良好 的 认证 体制 ， 更 因为 其 传输 的 特性 ， 大 大 地 增强 了 防止 被 
人 资 听 的 能 

3G 为 英文 3rd Generation 的 缩写 ， 代 表 着 第 三 代 移动 通信 技术 。 手 机 自问 世 至 今 ， 经 历 
了 第 一 代 模 拟 制式 手机 (1G) 和 第 二 代 GSM、TDMA 等 数字 手机 (2G), 而 当前 通信 运营 商 和 终 
端 产 品 制造 商 倡导 的 3G 是 指 将 无 线 通 信 与 国际 互联 网 等 多 媒体 通信 结合 的 新 一 代 移 动 通信 
系统 。 它 能 够 处 理 图 像 、 语 音 、 视 频 流 等 多 种 媒体 形式 ， 提 供 包 括 网 页 浏览 、 电 话 会 议 、 电 
子 商务 等 多 种 信息 服务 ， 为 手机 融入 多 媒体 元 素 提供 了 强大 的 支持 。 

第 三 代 通 信和 网 络 的 主要 目标 定位 于 实时 视频 、 高 速 多 媒体 和 移动 Intemet 访问 业务 。 早 
在 2000 年 5 月 国际 电信 联盟 dntemational Telecommunication Union,ITU) 即 确定 了 W-CDMA、 
CDMA2000 和 TD-SCDMA 三 个 主流 3G 标准 。 
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W-CDMA 即 Wide Band CDMA， 意 为 宽频 分 码 多 重 存 取 ， 是 由 GSM 网 发 展 出 来 的 3G 
技术 规范 ， 其 支持 者 主要 是 以 GSM 系统 为 主 的 欧洲 厂商 ， 包 括 欧 美的 爱立信 、 诺 基 亚 、 朗 
讯 、 北 电 以 及 日 本 的 NTT、 富 士 通 、 夏 普 等 厂商 。 这 套 系统 能 够 架设 在 现 有 的 GSM 网 络 上 ， 
对 于 系统 提供 商 而 言 可 以 较 方 便 地 过 渡 ， 而 GSM 系统 相当 普及 的 亚洲 对 这 套 新 技术 的 接受 
度 会 比较 高 。 因此 , W-CDMA 具有 先天 的 市 场 优势 。 目 前 W-CDMA 手机 已 有 多 种 产品 面世 ， 
但 国内 还 没有 完善 的 3G 网络 可 以 应 用 。 

CDMA2000 由 美国 高 通 公司 为 主导 提出 ,摩托罗拉 、 肯 讯 和 韩国 三 星 都 已 参与 ， 韩 国 现 
在 成 为 该 标准 的 主导 者 。 这 套 标准 是 从 窜 频 CDMA2000 1X 数字 标准 衍生 出 来 的 ， 可 以 从 原 
有 的 CDMA2000 1X 结构 直接 升级 到 CDMA2000 3X(3G), 建设 成 本 低廉 ,但 目前 使 用 CDMA 
的 地 区 主要 只 有 上 日本、 韩国 和 北美 ， 中 国联 通 正 是 应 用 了 该 模式 过 渡 的 ，CDMA2000 的 支持 
者 不 如 W-CDMA 多 。 不 过 CDMA2000 的 研发 技术 却 是 目前 各 标准 中 进度 最 快 的 ， 许 多 3G 
手机 也 已 率先 面世 。 

TD-SCDMA 全 称 Time Division-Synchronous CDMA, 该 标准 是 由 我 国 大 唐 电 信 公 司 提出 
的 3G 标准 。 该 标准 将 智能 无 线 、 同 步 CDMA 和 软件 无 线 电 等 当今 国际 领先 技术 融 于 其 中 。 
由 于 中 国 国内 庞大 的 市 场 ， 该 标准 受到 各 大 主要 电信 设备 厂商 的 重视 ， 全 球 一 半 以 上 的 设备 


2. WLAN 


WLAN(Wireless LAN， 无 线 局 域 网 ) 就 是 在 不 采用 传统 网 络 线材 的 前 提 下 ， 提 供 传统 有 
线 局 域 网 的 所 有 功能 ， 网 络 所 需 的 基础 设施 不 用 再 埋 在 地 下 、 管 道中 或 隐藏 在 墙 里 ， 网 络 却 
能 够 随 用 户 需 要 移动 或 变化 。 

无 线 局 域 网 技术 具有 传统 有 线 局 域 网 无 法 比拟 的 灵活 性 。 无 线 局 域 网 的 通信 范围 不 受 环 
境 条 件 的 限制 , 网 络 的 传输 范围 大 大 拓宽 ,最 大 传输 范围 可 达到 几 十 公里 。 在 有 线 局 域 网 中 ， 
两 个 站 点 的 距离 在 使 用 铜 缆 时 被 限制 在 500 米 以 内 ， 使 用 双 绞 线 时 则 仅 限 于 100 米 之 内 ， 即 
使 采用 单 模 光 纤 , 若 不 对 信号 进行 放大 则 传输 距离 也 只 能 达到 3000 米 , 而 无 线 局 域 网 中 两 个 
站 点 间 的 距离 目前 可 达到 50 公里 ， 距 离 数 公里 的 建筑 物 中 的 网 络 可 以 集成 为 同一 个 局 域 网 。 
相对 于 有 线 网 络 ， 无 线 局 域 网 的 组 建 、 配 置 和 维护 较为 容易 ， 一 般 计算 机 工作 人 员 都 可 以 胜 
任 网 络 的 管理 工作 。 

无 线 局 域 网 的 主要 标准 有 Wi-Fi、 蓝 牙 (Bluetooth) 及 HomeRF( 家 庭 网 络 ) 标 准 。 典 型 的 利 
用 Wi-Fi 组 建 的 无 线 局 域 网 如 图 12-1 所 示 。 
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_ 一 WIFI 


-外 国 


图 12-1 典型 Wi-Fi 无 线 局 域 网 


Wi-Fi(Wireless-Fidelity, 无 线 保 真 ) 是 一 个 无 线 网 络 通信 技术 的 品牌 , 由 Wi-Fi 联盟 (Wi-EFi 
Alliance) 所 持 有 ， 用 在 基于 IEEE 802.11 标准 的 产品 上 ， 目 的 是 改善 基于 IEEE 802.11 标准 的 
无 线 网 络 产 品 之 间 的 互通 性 。Wi-Fi 联盟 成 立 于 1999 年 ， 当 时 的 名 称 叫 做 Wireless Ethernet 
Compatibility Alliance(WECA)。 在 2002 年 10 月 ， 正 式 改 名 为 Wi-Fi Alliance。 普 通用 户 通 常 
会 把 Wi-Fi 及 IEEE 802.11 混为一谈 ,甚至 把 Wi-Fi 等 同 于 无 线 局 域 网 ， 事实 上 两 者 概念 完全 
不 同 。IEEE 802.11 第 一 个 版 本 发 表 于 1997 年 ,其 中 定义 了 媒体 访问 控制 层 MAC) 和 物理 层 。 
物理 层 定 义 了 工作 在 2.4GHz 的 ISM 频段 上 的 两 种 无 线 调频 方式 和 一 种 红外 传输 的 方式 ， 数 
据 传输 速率 设计 为 2Mbits。 两 个 设备 之 间 的 通信 可 以 自由 直接 (Ad Hoc) 方 式 进行 ， 也 可 以 在 
基站 (Base Station，BS) 或 者 访问 点 (Access Point，AP) 的 协调 下 进行 。1999 年 加 上 了 两 个 补充 
版 本 : 802.11a 定义 了 一 个 在 SGHz ISM 频段 上 的 数据 传输 速率 可 达 54Mbit/s 的 物理 层 ， 
802.11b 定义 了 一 个 在 2.4GHz 的 ISM 频段 上 但 数据 传输 速率 高 达 11Mbits 的 物理 层 .2.4GHz 
的 ISM 频段 为 世界 上 绝 大 多 数 国家 通用 ,因此 802.11b 得 到 了 最 为 广泛 的 应 用 。1999 年 工业 
界 成 立 了 Wi-Fi 联盟 , 致力 解决 符合 802.11 标准 的 产品 的 生产 和 设备 兼容 性 问题 。 由 此 可 知 ， 
Wi-Fi 为 制定 802.11 无 线 网 络 的 组 织 ， 而 IEEE 802.11 是 一 组 网 络 协议 。 

蓝牙 IEEE 802.15) 是 一 项 新 标准 ， 对 于 802.11 来 说 ， 它 的 出 现 不 是 为 了 竞争 而 是 相互 补 
充 。“ 蓝 牙 ” 是 一 种 先进 的 近 距 离 无 线 数字 通信 的 技术 标准 ， 其 目标 是 实现 最 高 数据 传输 速 
度 IMbps( 有 效 传输 速率 为 721Kbps)、 传 输 距离 为 10 厘米 一 10 米 , 通过 增加 发 射 功率 可 达到 
100 米 。IEEE 802.15 是 由 IEEE 制定 的 一 种 蓝牙 无 线 通 信 规 范 ， 应 用 于 无 线 个 人 区 域 网 
(Wireless Personal Area Network，WPAN)。IEEE 802.15 具有 许多 特征 ， 如 短程 、 低 能 量 、 低 
成 本 、 小 型 网 络 及 通信 设备 ， 适 用 于 个 人 操作 空间 。 

HomeRF 主要 为 家 庭 网 络 设 计 ， 是 下 EE 802.11 与 DECT( 数 字 无 绳 电话 ) 标 准 的 结合 ， 目 
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的 在 于 降低 语音 数据 成 本 。HomeRF 采用 了 扩 频 技术 ， 工 作 在 2.4GHz 频段 ， 能 同步 支持 4 
条 高 质量 语音 信道 。 随 着 Wi-Fi 的 迅速 发 展 ，HomeRF 已 经 逐渐 退出 市 场 。 

目前 ， 有 线 接 入 技术 主要 包括 以 太 网 、xDSL 等 。Wi-Fi 技术 作为 高 速 有 线 接 入 技术 的 补 
充 ， 具 有 为 可 移动 性 、 价 格 低廉 的 优点 ，Wi-Fi 技术 广泛 应 用 于 有 线 接 入 需 无 线 延 伸 的 领域 ， 
如 临时 会 场 等 。 由 于 数据 速率 、 和 覆盖 范围 和 可 靠 性 的 差异 ，Wi-Fi 技术 在 宽带 应 用 上 将 作为 
高 速 有 线 接 入 技术 的 补充 ,而 关键 技术 无 疑 决定 着 Wi-Fi 的 补充 力度 ,现在 OFDM、MIMO( 多 
入 多 出 )、 智 能 天 线 和 软件 无 线 电 等 , 都 开始 应 用 到 无 线 局 域 网 中 以 提升 Wi-Fi 性 能 ,如 802.11n 
计划 采用 MIMO 与 OFDM 相 结合 ， 使 数据 速率 成 倍 提高 。 另 外 ， 天 线 及 传输 技术 的 改进 使 
得 无 线 局 域 网 的 传输 距离 大 大 增加 ， 可 以 达到 几 公 里 。 


12.2 无 线 网 络 安 全 性 分 析 


12.2.1 ”移动 通信 和 网络 安全 性 分 析 


基于 无 线 网 络 的 特点 ， 在 方便 合法 用 户 接 入 网 络 的 同时 ， 也 使 得 无 线 网 络 更 容易 被 非法 
用 户 攻 击 。 移 动 通 信 网 络 面临 的 用 户 数 量 大 ， 且 多 数 用 户 不 具备 基本 的 网 络 技术 知识 以 及 安 
全 防范 意识 ， 因 而 移动 通信 和 网络 的 安全 问题 相对 更 加 复杂 。 


1. GSM 网 络 安全 


GSM 网 络 安全 性 体现 在 三 个 方面 : 用户 身份 的 保密 性 、 认 证 和 加 密 。 通 过 认证 ， 防 止 
没有 授权 的 用 户 使 用 网 络 资源 ; 通过 加 密 , 保证 用 户 数据 和 信 令 数据 的 保密 性 。 具体 内 容 如 下 。 

采用 临时 号 码 (TMSD 来 保证 用 户 身份 的 保密 性 。GSM 系统 为 每 个 移动 用 户 分 配 一 个 唯 
一 的 国际 移动 用 户 识 别 码 (International Mobile Subscriber Identifier，IMSD。 它 存储 于 SIM 卡 
的 EPROM 中 , 这 个 身份 一 旦 被 非法 用 户 利用 就 可 能 对 用 户 和 移动 运营 商 带 来 损失 。GSM 系 
统 中 通过 采用 TMSI 实现 用 户 身份 的 保密 性 。TMSI 只 有 临时 和 局 部 的 作用 ， 经 过 一 段 时 间 
或 跨越 不 同 的 区 域 时 ，TMSI 都 会 进行 更 新 ， 更 新 的 频率 由 移动 运营 商 自 行 设置 。 在 更 新 时 ， 
TMSI 的 传输 采取 加 密 方式 ,为 了 避免 混淆 , 所 以 要 和 位 置 标识 符 (Location Area Identity, LAD 
一 起 使 用 。 IMSI 只 有 在 当 接收 到 TMSI 与 LAI 不 匹配 时 才 需 要 发 送 , 通常 在 用 户 接 入 网 络 时 
才 使 用 。 这 样 ， 如 果 跟 踊 用 户 就 只 能 跟踪 到 临时 号 码 TMSI， 而 没 办 法 查 出 用 户 的 真实 用 户 
识别 码 IMSI。 

GSM 系统 中 的 用 户 身 份 认证 ， 采 用 Challenge Response 机 制 ( 查 问 /应 答 鉴 别 机 制 ) 的 一 系 
列 密 钥 认 证 系统 来 实现 。 在 移动 终端 、 网 络 交 换 子 系统 中 同时 保存 密 钥 Ki 用 于 实现 认证 , 它 
存在 于 认证 中 心 和 SIM 卡 中 。 其 具体 步骤 如 下 : 首先 ， 移 动 终端 的 随机 数 产生 器 生成 一 个 长 
度 为 128 位 的 随机 数 ， 该 数 被 送 到 移动 终端 中 ;， 然 后， 网络 子 系统 的 认证 中 心 和 移动 终端 利 
用 Ki 和 产生 的 随机 数 通 过 A3 算法 分 别 得 出 一 个 带 符号 的 结果 (SRES)。 并 将 移动 终端 所 产生 
的 SRES 发 送 到 认证 中 心 ; 最 后 ， 对 两 个 得 出 的 结果 (SRES) 进 行 比较 ， 如 果 结 果 不 同 ， 则 拒 
绝 接 入 的 请 求 。 由 于 GSM 系统 在 每 次 用 户 接 入 时 进行 身份 认证 ， 每 次 产生 的 随机 数 是 不 一 
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样 的， 所 以 尽管 上 次 可 能 在 无 线 通道 上 被 窃听 到 有 关 身 份 认证 的 消息 ， 下 一 次 随机 数 发 生 改 
变 ， 也 无 法 利用 。 

GSM 的 数据 在 无 线 信道 上 采用 加 密 传输 的 方式 ， 使 用 户 信息 和 信 令 信息 不 容易 被 窃听 ， 
以 实现 用 户 信息 和 信 令 信息 的 保密 性 。 用 户 身 份 认证 通过 后 , 移动 终端 就 由 Ki 和 所 产生 的 随 
机 数 作为 输入 ， 通 过 A8 算法 产生 加 密 密 钥 Ke， 并 将 此 加 秘密 钥 送 到 所 访问 的 VLRCVisitor 
Location Register， 访 客 位 置 寄 存 器 ) 中 。Kc 和 帧 号 码 用 于 A5 算法 ， 以 对 移动 终端 与 访问 系 
统 之 间 的 数据 流 进行 加 密 和 解密 。 


2. 3G 网 络 安全 


用 户 可 利用 移动 终端 随时 接 入 Intemet， 因 而 3G 网 络 面临 着 与 Intemet 同样 复杂 的 安全 
问题 。3G 网 络 中 的 安全 技术 是 在 GSM 的 安全 机 制 基础 上 建立 起 来 的 ， 它 克服 了 GSM 中 的 
一 些 安全 问题 , 并 增加 了 新 的 安全 功能 , 为 用 户 和 移动 服务 提供 商 提供 更 为 可 靠 的 安全 机 币 
3G 系统 融合 了 无 线 通 信 与 nternet 技术 ，3G 的 安全 将 更 多 地 使 用 Internet 中 各 种 成 熟 的 加 密 
技术 。 根 据 3GPP(3rd Generation Partnership Project， 第 三 代 合 作 伙伴 计划 ) 和 WAP(Wireless 
Application Protocol， 无 线 应 用 协议 ) 的 标准 化 规定 ，3G 中 运用 了 许多 新 的 及 增强 型 的 安全 技 
术 ， 具 体内 容 如 下 。 

1) 入 网 安全 

用 户 信息 通过 开放 的 无 线 信道 进行 传输 ， 因 而 很 容易 受到 攻击 。 第 二 代 移动 通信 系统 的 
安全 标准 主要 关注 的 也 是 移动 终端 到 网 络 的 无 线 接 入 的 安全 性 。 在 3G 系统 中 ， 提 供 了 相对 
于 GSM 而 言 更 强 的 安全 接 入 控制 ， 同 时 考虑 了 与 GSM 的 兼容 性 ， 使 得 GSM 平滑 地 向 3G 
过 渡 。 与 GSM 中 一 样 ，3G 中 用 户 端 接 入 网 安全 也 是 基于 一 个 物理 和 届 辑 上 均 独 立 的 智能 
设备 ， 即 USIM。 未 来 的 接 入 网 安全 技术 将 主要 关注 如 何 支 持 在 各 异种 接 入 媒体 包括 蜂窝 网 、 
无 线 局 域 网 以 及 固定 网 之 间 的 全 球 无 颖 漫游 ， 这 将 是 一 个 全 新 的 研究 领域 。 

2) 核心 网 安全 技术 

与 第 二 代 移 动 通信 系统 一 样 ，3GPP 组 织 最 初 也 并 未 定义 核心 网 安全 技术 。 但 是 随 着 技 
术 的 不 断 发 展 ， 核 心 网 安全 也 已 受到 了 人 们 的 广泛 关注 ， 在 可 以 预见 的 未 来 ， 它 必 将 被 列 入 
3GPP 的 标准 化 规定 。 目 前 一 个 明显 的 趋势 是 ，3G 核心 网 将 向 全 了 Pp 网 过 渡 ， 因 而 它 必 然 要 面 
对 全 网 所 固有 的 一 系列 问题 。Internet 安全 技术 也 将 在 3G 网 中 发 挥 越 来 越 重要 的 作用 , 移动 
无 线 因特网 论坛 (Mobile Wireless mtemetForum,MVWIE) 正 致力 于 为 3GPP 定 义 一 个 统一 的 结构 。 

3) 传输 层 安 全 

尽管 现在 已 经 采取 了 各 种 各 样 的 安全 措施 来 抵抗 网 络 层 的 攻击 ， 但 是 随 着 WAP 和 
Internet 业务 的 广泛 使 用 , 传输 层 的 安全 也 越 来 越 受到 人 们 的 重视 。 这 一 领域 的 相关 协议 包括 
WAP 论坛 的 无 线 传输 层 安 全 (WTLS)、IEFT 定义 的 传输 层 安 全 (TLS)、 之 前 定义 的 Socket 层 
安全 (SSL)。 这 些 技 术 主 要 是 采用 公 钥 加 密 方 法 , 利用 PKI 技术 进行 相关 数字 签名 及 认证 ,为 
需要 在 传输 层 建立 安全 通信 的 实体 提供 安全 保障 。 

4) 应 用 层 安全 

在 3G 系统 中 ， 除 提供 传统 的 话音 业务 外 ， 电 子 商 务 、 电 子 贸 易 、 网 络 服务 等 新 型 业务 
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将 成 为 3G 的 重要 业务 发 展 点 。 因 而 3G 将 更 多 地 考虑 在 应 用 层 提供 安全 保护 机 制 。 端 到 端的 
安全 以 及 数字 签名 可 以 利用 标准 化 SIM 应 用 工具 包 来 实现 ， 在 SIM/USIM 和 网 络 SIM 应 用 
工具 提供 商 之 间 建 立 一 条 安全 的 通道 。SIM 应 用 工具 包 安 全 定义 参见 3GPP GSM TS 03.48。 

5) 代码 安全 

第 二 代 移 动 通信 系统 中 ， 所 能 提供 的 服务 都 是 固定 的 、 标 准 化 的 ， 但 是 在 3G 系统 中 各 
种 服务 可 以 通过 系统 定义 的 标准 化 工具 包 来 定制 (例如 3GPP TS 23.057 定义 的 MExE)。MExE 
提供 了 一 系列 标准 化 工具 包 ， 支 持 用 手机 终端 进行 新 业务 和 新 功能 下 载 。 这 一 过 程 中 ， 虽 然 
考虑 了 一 定 的 安全 保护 机 制 ， 但 相对 有 限 。MExE 的 使 用 增强 了 终端 的 灵活 性 ， 但 也 使 得 恶 
意 攻击 者 可 以 利用 伪 “ 移 动 代码 ”或 病毒 对 移动 终端 软件 进行 破坏 。 


12.2.2 ”Wi-Fi 无 线 局 域 网 安全 性 分 析 


Wi-Fi 无 线 局 域 网 所 采用 的 IEEE 802.11 标准 最 早 于 1999 年 发 布 ， 它 描述 了 无 线 局 域 网 
(Wireless Local Area Network，WLAN) 和 无 线 城 域 网 (Wireless Metropolitan Area Network， 
WMAN) 的 媒体 访问 控制 ( 链 路 层 ) 和 物理 层 的 规范 。 为 了 防止 出 现 无 线 局 域 网 数据 被 窃听 ， 并 
提供 与 有 线 网 络 中 功能 等 效 的 安全 措施 ,下 EE 引入 了 有 线 等 价 保密 (Wired Equivalent Privacy， 
WEP) 算 法 。 和 许多 新 技术 一 样 ， 最 初 设计 的 WEP 被 人 们 发 现 了 许多 严重 的 弱点 。 专 家 们 利 
用 已 经 发 现 的 弱点 ， 攻 破 了 WEP 声称 具有 的 所 有 安全 控制 功能 。 对 普通 用 户 来 说 ， 利 用 网 
上 下 载 的 工具 , 可 以 轻松 破解 基于 WEP 加 密 的 Wi-Fi 无 线 网 。 总 的 来 说 ,WEP 存在 如 下 弱点 。 

e 整体 设计 问题 。 在 无 线 网 络 环境 中 ， 不 使 用 保密 措施 是 具有 很 大 风险 的 ， 但 WEP 协 

议 只 是 802.11 设备 实现 的 一 个 可 选项 。 

e 加 密 算法 问题 。WEP 中 的 初始 化 向 量 (mnitialization Vector，IV) 由 于 位 数 太 短 和 初始 
化 复位 设计 , 容易 出 现 重用 现象 , 从 而 导致 密 钥 被 破解 。WEP 用 于 进行 流 加 密 的 RC4 
算法 ， 在 其 头 256 个 字 节 数据 中 的 密 钥 存在 缺陷 ， 目 前 尚 无 有 效 的 修补 办 法 。 此 外 
用 于 对 明文 进行 完整 性 校 验 的 循环 见 余 校 验 (Cyclic Redundancy Check，CRC) 算 法 ， 
只 能 确保 数据 被 正确 传输 ， 并 不 能 保证 其 未 被 修改 ， 因 而 不 是 安全 的 校 验 码 。 

e 密 钥 管理 问题 。802.11 标准 要 求 WEP 使 用 的 密 钥 需 要 接受 一 个 外 部 密 钥 管理 系统 的 
控制 。 通 过 外 部 控制 可 以 减少 IV 的 冲突 数量 ， 使 得 无 线 网 络 难以 攻破 。 但 问题 在 于 
这 个 过 程 形式 非常 复杂 ， 并 且 需 要 手工 操作 ， 因 而 很 多 网 络 的 部 署 者 更 倾向 于 使 用 
缺 省 的 WEP 密 铀 ， 这 使 黑客 为 破解 密 钥 所 作 的 工作 量 大 大 减少 。 另 一 些 高 级 的 解决 
方案 需要 使 用 额外 资源 ， 如 Radius 和 Cisco 的 LEAP 协议 ， 成 本 比较 昂贵 。 


e 用 户 行为 问题 。 许 多 用 户 都 不 会 修改 缺 省 的 配置 选项 ， 使 得 黑客 很 容易 推断 出 或 猜 
出 密 钥 。 


未 采用 WEP 加 密 的 Wi-Fi 无 线 网 安全 性 比 WEP 有 明显 改善 ,也 并 非 高 枕 无 忧 , 主要 有 

以 下 几 种 隐患 。 
e 无 线 网 络 非常 容易 被 发 现 。 为 了 能 够 使 合法 用 户 找到 无 线 网 络 ， 网 络 必 须发 送 含有 
特定 参数 的 数据 帧 ， 这 样 就 给 攻击 者 提供 了 必要 的 网 络 信息 。 入 侵 者 可 以 通过 高 灵 
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敏 度 天 线 从 公路 边 、 楼 宇 中 以 及 其 他 任何 地 方 对 网 络 发 起 攻击 ， 而 不 需要 任何 物理 
方式 的 侵入 。 

e 未 经 授权 访问 无 线 网 络 。 相 当 一 部 分 普通 用 户 在 使 用 无 线 接 入 设备 (如 无 线路 由 器 ) 
时 ， 只 在 其 默认 的 配置 基础 上 进行 很 少 的 修改 ， 此 时 这 些 无 线 接 入 设备 都 按照 默认 
配置 来 开启 WEP 进行 加 密 ， 或 者 使 用 原 厂 提供 的 默认 密 钥 。 由 于 无 线 局 域 网 的 开放 
式 访问 方式 ， 未 经 授权 使 用 网 络 资源 不 仅 会 增加 带宽 费用 ， 更 可 能 会 导致 法 律 纠 纷 。 
而 且 未 经 授权 的 用 户 没有 遵守 服务 提供 商 提 出 的 服务 条 款 , 可 能 会 导致 ISP 中 断 服 务 。 

e 地 址 欺骗 和 会 话 拦截 。 由 于 802.11 无 线 局 域 网 对 数据 帧 不 进行 认证 操作 ， 攻 击 者 可 
以 通过 欺骗 帧 来 重 定向 数据 流 ， 使 ARP 表 变 得 混乱 。 通 过 非常 简单 的 方法 ， 攻 击 者 
可 以 轻易 获得 网 络 中 站 点 的 MAC 地 址 ， 这 些 地 址 可 以 被 用 于 恶意 攻击 。 除 攻击 者 通 
过 欺骗 帧 进行 攻击 外 ， 攻 击 者 还 可 以 通过 截获 会 话 帧 发 现 无 线 接 入 设备 中 存在 的 认 
证 缺陷 ， 通 过 监测 无 线 广播 帧 确认 无 线 接 入 设备 的 存在 。 攻 击 者 很 容易 装扮 成 无 线 
接 入 设备 进入 网 络 。 

e 流量 分 析 与 流量 侦 听 。802.11 无 法 防止 攻击 者 采用 被 动 方式 监听 网 络 流量 ， 而 任何 
无 线 网 络 分 析 仪 都 可 以 不 受 任何 阻碍 地 截获 未 进行 加 密 的 网 络 流量 。 


12.3 ”无线 网 络 安全 防护 


12.3.1 ”移动 通信 网络 安全 防护 

随 着 移动 通信 系统 在 各 行业 的 广泛 应 用 ， 对 移动 通信 安全 也 提出 了 更 高 的 要 求 。 未 来 的 
移动 通信 系统 安全 需要 进一步 的 加 强 和 完善 ， 具 体 表现 在 以 下 几 个 方面 。 

1. 3G 的 安全 体系 结构 趋 于 透明 化 

目前 的 3G 网 络 安全 体系 仍然 建立 在 假定 内 部 网 络 绝对 安全 的 前 提 下 ， 但 随 着 通信 网 络 
的 不 断 发 展 ， 终 端 在 不 同 运 营 商 乃至 异种 网 络 之 间 的 漫游 也 成 为 可 能 ， 因 此 应 增加 核心 网 之 
间 的 安全 认证 机 制 。 特 别 是 随 着 移动 电子 商务 的 广泛 应 用 ， 更 应 尽量 减少 或 避免 网 络 内 部 人 
员 的 干预 性 。 未 来 的 安全 中 心 应 能 独立 于 系统 设备 ， 具 有 开放 的 接口 ， 能 独立 地 完成 双向 鉴 
权 、 端 到 端 数据 加 密 等 安全 功能 ， 甚 至 对 网 络 内 部 人 员 也 是 透明 的 。 

2. 考虑 采用 公 钥 密码 体制 


在 希望 未 来 的 3G 网 络 更 具有 可 扩展 性 ， 安 全 特性 更 加 具有 可 见 性 、 可 操作 性 的 趋势 下 ， 
采用 公 钥 密码 体制 。 参 与 交换 的 是 公开 密 钥 ， 因 而 增加 了 私 钥 的 安全 性 ， 并 能 同时 满足 数字 
加 密 和 数字 签名 的 需要 ， 满 足 电子 商务 所 要 求 的 身份 鉴别 和 数据 的 保密 性 、 完 整 性 、 不 可 否 
认 性 。 因 此 ， 必 须 尽 快 建设 无 线 公 钥 基础 设施 (WPKD， 建 设 以 认证 中 心 (CA) 为 核心 的 安全 认 
证 体系 。 
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3. 考虑 新 密码 技术 的 应 用 


随 着 密码 学 的 发 展 以 及 移动 终端 处 理 能 力 的 提高 ， 新 的 密码 技术 ， 如 量子 密码 技术 、 椭 
圆 曲线 密码 技术 、 生 物 识 别 技术 等 已 在 移动 通信 系统 中 获得 广泛 应 用 ， 加 密 算 法 和 认证 算法 
自身 的 抗 攻 击 能 力 更 强 ， 从 而 保证 传输 信息 的 保密 性 、 完 整 性 、 可 用 性 、 可 控 性 和 不 可 否认 性 。 


4. 使 用 多 层次 、 多 技术 的 安全 保护 机 制 


为 了 保证 移动 通信 系统 的 安全 ， 不 能 仅 依靠 网 络 接 入 和 核心 网 内 部 的 安全 机 制 ， 而 应 该 
使 用 多 层次 、 多 技术 相 结合 的 保护 机 制 。 在 应 用 层 、 网 络 层 、 传 输 层 和 物理 层 上 进行 全 方位 
的 数据 保护 ， 并 结合 多 种 安全 协议 ， 从 而 保证 信息 的 安全 。 

今后 相当 长 一 段 时 期 内 ， 移 动 通信 系统 都 会 出 现 2G 和 3G 两 种 网 络 共存 的 局 面 ， 移 动 
通信 系统 的 安全 也 面临 着 后 向 兼容 的 问题 。 因 此 ， 如 何 进一步 完善 移动 通信 系统 的 安全 ， 提 
高 安全 机 制 的 效率 以 及 对 安全 机 制 进行 有 效 的 管理 ， 都 是 琢 需 解决 的 问题 。 


12.3.2 ”Wi-Fi 无 线 局 域 网 安全 防护 
针对 Wi-Fi 无 线 局 域 网 的 安全 防护 ， 主 要 有 以 下 几 种 措施 。 
1. 加 强 网 络 访问 控制 


通过 强大 的 网 络 访问 控制 可 以 减少 无 线 网 络 配置 的 风险 。 如 果 将 无 线 接 入 设备 安置 在 像 
防火 墙 这 样 的 网 络 安全 设备 之 外 ， 应 考虑 将 其 通过 VPN 技术 连接 到 主干 网 络 ， 更 好 的 办 法 
是 使 用 基于 IEEE 802.1x 协议 的 无 线 网 络 产品 。IEEE 802.1x 定义 了 新 的 用 户 级 认证 的 数据 帧 
类 型 ， 借 助 于 企业 网 已 经 存在 的 用 户 数据 库 ， 将 前 端 基于 下 EE 802.1X 无 线 网 络 的 认证 转换 
到 后 端 基于 有 线 网 络 的 Radius 认证 。 

2. 加 强 安 全 认证 


加 强 安全 认证 的 最 好 防御 方法 就 是 阻止 未 被 认证 的 用 户 进入 网 络 ， 由 于 访问 权限 控制 是 
基于 用 户 身 份 的 ， 所 以 通过 对 认证 过 程 进行 加 密 是 进行 认证 的 前 提 ， 通 过 VPN 技术 能 够 有 
效 地 保护 通过 无 线 电波 传输 的 网 络 流量 。 一 旦 配置 好 无 线 网 络 ， 严 格 的 认证 方式 和 认证 策略 
将 是 至 关 重 要 的 。 另 外 还 需要 定期 对 无 线 网 络 进行 测试 ， 以 确保 网 络 设备 使 用 了 安全 认证 机 
制 ， 并 确保 网 络 设备 的 配置 正常 。 需 要 强调 的 是 ， 应 杜绝 使 用 WEP 加 密 方式 ， 而 采用 
WPK(Wi-Fi Protected Access) 协 议 加 密 ， 并 设置 8 位 以 上 的 密码 。 

图 12-2 所 示 是 一 个 常见 的 无 线路 由 器 的 配置 界面 。 其 中 ，Security Mode( 安 全 模式 ) 选 项 
有 WEP、Radius、WPA、WPA2、WPA2 Personal 等 ， 因 WEP 的 安全 性 太 差 ， 本 例 选 择 的 是 
WPA2 Personal 模式 。WPA Algorithms(WPA 加 密 算 法 ) 选 择 的 TKIP 十 AES， 是 比较 安全 的 一 
种 算法 。WPA Shared Key(WPA 共享 密 钥 )， 设 置 了 一 个 比较 长 的 密 钥 。 因 此 ， 图 12-2 所 示 
是 相对 比较 安全 的 一 种 设置 ， 是 对 无 线 接 入 设备 进行 设置 的 基本 要 求 。 
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Wireless Security wl0 


Physical Interface wl0 SSID [wifi-2009] HWAddr [00:0F:66:02:4E:13] 


Security Mode [WeazPersonal 辐 

WPA Algorithms [rarraes HH 

WPA Shared Key [ee Unmask 

Key Renewal Interval (in seconds) F3600 (Default: 3600, Range: 1 - 99999) 


Apply Settings | 


图 12-2 无 线 接 入 设备 的 基本 安全 设置 


3. 重要 网 络 隔离 


在 支持 新 的 安全 机 制 的 无 线 网 络 协议 应 用 之 前 ，MAC 地 址 欺骗 对 无 线 网 络 的 威胁 依然 
存在 。 网 络 管理 员 必 须 将 无 线 网 络 同 易 受 攻击 的 核心 网 络 进行 物理 隔离 ， 两 类 网 络 间 不 允许 
任何 形式 的 连接 。 

4. 合理 配置 、 安 装 无 线 接 入 设备 


对 于 自己 搭建 无 线 网 络 的 用 户 ， 需 要 进行 一 些 最 基本 的 安全 配置 ， 如 隐藏 SSID， 关 闭 
DHCP, 设置 WPA 密 钥 , 启用 内 部 隔离 等 。 条 件 允 许 的 用 户 , 应 配置 MAC 过 滤 , 建立 802.1x 
端口 认证 。 此 外 ， 在 安装 无 线 接 入 设备 时 ， 可 使 用 定向 天 线 ， 调 整 发 射 功 率 ， 尽 可 能 把 信号 
收敛 在 信任 的 范围 之 内 。 还 可 以 将 无 线 局 域 网 视 为 Intemet 一 样 来 防御 ， 甚 至 在 接口 处 部 署 
入 侵 检测 系统 。 


本 章 小 结 


本 章 介 绍 了 两 大 类 无 线 网 络 的 简要 发 展 历 程 ， 阐 述 了 无 线 网 络 带 来 巨大 的 网 络 部 署 效 
率 、 灵 活性 提升 ， 并 分 析 了 由 此 带 来 的 巨大 安全 隐患 。 特 别 是 当前 广泛 普及 的 Wi-Fi 无 线 局 
域 网 。 针 对 两 类 无 线 网 络 的 安全 防护 ， 是 已 经 或 将 要 连 入 无 线 网 络 的 用 户 需要 引起 足够 重视 
的 问题 ， 只 有 安全 的 连 入 无 线 网 络 ， 才 能 真正 提高 工作 效率 ， 和 否则 因 安 全 问题 带 来 的 影响 将 
会 得 不 偿 失 。 


课 后 练习 


机 
局 
加 
二 
外 
人 


学 研究 员 创造 的 第 一 个 无 线 通信 网 络 ， 被 称 为 ( )。 
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2. 当前 主要 有 两 种 无 线 接 入 Intemet 的 方式 ， 即 通过 移动 通信 网 络 接 入 和 通过 


) 接 入 。 
3. GSM 安全 性 体现 在 用 户 身份 的 保密 性 、 认 证 和 ( ) 码 个 方面 
4. Wi-Fi 采 用 的 是 IEEE ( ) 系 列 协 议 。 
5. Wi-Fi 的 加 密 方式 主要 有 WEP、WPA 两 种 ， 其 中 ，( ) 的 安全 性 比较 差 ， 很 
容易 被 破解 。 
二 、 选 择 题 
1. 蓝牙 属于 ( )。 
A. 有 线 局 域 网 B. 无 线 局 域 网 。 C. 移动 通信 网 D. 以 上 都 不 是 
2. 蓝牙 采用 的 网 络 协议 是 ( 。”)。 
A. IEEE 802.3 B. IEEE 802.11 
C. IEEE 802.15 D. IEEE 802.16 


3. 传输 层 安 全 机 制 SSL 的 缩写 来 自 于 (” )。 
A. Safe Sockets Layer B. Safe Signal Layer 
C. Secure Sockets Layer  D. Secure Signal Layer 
4. IEFT 定义 的 传输 层 安全 机 制 是 (。”)。 


A.TCP B. UDP C. HTTPS DTIS 
5. 加 强 Wi-Fi 安全 性 的 措施 之 一 是 (。”)。 

A. 隐藏 SSD B. 显示 SSID 

C. 不 设置 SSID D. 以 上 都 不 是 


三 、 简 答题 


. 与 有 线 网 络 相 比 ， 无 线 网 络 的 主要 优势 是 什么 ? 

. 与 有 线 网 络 相 比 ， 无 线 网 络 的 主要 不 足 是 什么 ? 

. Wi-Fi 和 蓝牙 的 各 自 优 点 、 缺 点 及 适用 场合 是 什么 ? 

. 为 何 采用 WEP 加 密 机 制 的 Wi-Fi 无 线 网 络 密码 很 容易 被 破解 ? 
. 3G 无 线 上 网 与 Wi-Fi 无 线 上 网 各 自 的 优 缺 点 是 什么 ? 


nD 一 
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Intemet 是 一 个 庞大 、 复 杂 的 系统 ， 其 运行 过 程 中 任何 一 个 环节 都 需要 安全 保障 。 网 络 应 
用 安全 符合 典型 的 “ 木 桶 原理 ”， 任 何 一 个 环节 出 现 问题 ， 整 个 应 用 系统 的 安全 性 就 会 遭 到 
破坏 。 网 络 应 用 的 存 取 控 制 ， 应 用 数据 在 网 络 中 传输 的 各 个 环节 ， 以 及 各 类 丰富 的 Web 应 用 
系统 ， 都 面临 着 错综复杂 的 风险 ， 层 出 不 穷 的 攻击 手段 使 得 网 络 应 用 安全 形势 日 趋 严峻 。 


本 章 重 点 

网 络 攻击 的 主要 步骤 
设置 安全 口令 的 基本 准则 
网 络 监听 的 基本 原理 与 防范 
网 络 扫描 的 概念 、 防 护 手段 
网 络 钓鱼 的 概念 及 其 防范 
SQL 注入 及 基本 防护 


13.1 ”网络 攻击 的 步骤 


通过 学 习 第 8 章 内 容 可 知 ， 在 一 次 完整 的 入 侵 过 程 中 ， 第 一 步 就 是 要 获取 对 目标 系统 的 
远程 控制 权 。 在 实施 这 一 步 之 前 ， 必 须 进行 充足 的 准备 工作 ， 这 样 才能 提高 入 侵 的 成 功率 。 
盲目 的 攻击 不 仅 难 以 收 到 成 效 ， 更 容易 暴露 自己 ， 带 来 麻烦 。 这 里 所 说 的 准备 工作 ， 就 是 攻 
击 前 的 信息 搜集 ， 俗 称 “ 踩 点 ”， 好 比 略 有 水 平 的 罪犯 ， 在 犯罪 前 必定 要 先 勘 测 现场 。 

卓有成效 的 信息 搜集 过 程 应 包含 以 下 儿 个 步 又 。 


13.1.1 搜集 初始 信息 
确定 攻击 目标 后 , 需要 先 搜集 初始 信息 , 如 JP 地 址 或 域名 。 然后 攻击 者 可 根据 已 知 的 域 


名 查找 关于 这 个 站 点 的 信息 。 比 如 站 点 服务 器 的 存放 地 理 位 置 或 维护 站 点 的 工作 人 员 ， 这 些 
都 能 够 帮助 攻击 者 了 解 被 攻击 对 象 。 搜 集 初始 信息 的 方法 包括 以 下 几 种 。 


1. 开放 来 源 信息 


很 多 时 候 ， 目 标 站 点 发 布 的 公共 内 容 ， 会 在 不 知 不 觉 中 泄露 大 量 信息 ， 因 而 被 攻击 者 利 
用 。 这 种 信息 通常 被 称 为 开放 来 源 信息 。 
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开放 的 来 源 是 指 关 于 攻击 目标 或 者 它 的 合作 伙伴 的 一 般 、 公 开 的 信息 , 任何 人 能 够 得 到 。 
这 意味 着 存 取 或 者 分 析 这 种 信息 比较 容易 ， 且 获取 这 些 信息 时 不 会 被 怀疑 。 这 里 列 出 几 种 获 
取 开 放 来 源 信息 的 例子 ， 目标 主机 的 新 闻 信息 ， 如 某 公司 为 展示 其 技术 的 先进 性 和 能 为 客户 
提供 最 好 的 监控 能 力 、 容 错 能 力 、 服 务 速度 ， 往 往 会 不 经 意 间 泄露 了 系统 的 操作 平台 、 交 换 
机 型 号 及 基本 的 线路 连接 情况 ;目标 主机 的 员工 信息 (大 多 数 公司 网 站 上 附 有 姓名 地 址 籍 ， 这 
些 都 能 提供 了 一 些 有 用 的 信息 )。 


2. Whois 


对 于 攻击 者 而 言 ， 任 何 有 域名 的 公司 必定 泄露 某 些 信息 。 攻 击 者 对 目标 域名 执行 Whois 
查询 ， 即 可 找到 目标 相关 信息 。 通 过 查看 Whois 的 输出 , 攻击 者 会 得 到 一 些 非常 有 用 的 信息 ， 
例如 得 到 一 个 物理 地 址 、 一 些 人 名 和 电话 号 码 (可 用 于 社会 工程 学 攻击 )。 通 过 Whois 查询 还 
可 获得 目标 域名 的 主 、 从 服务 器 卫 地 址 。 


3. Nslookup 


Nslookup(Name System Lookup) 即 域名 系统 查询 是 用 于 查询 目标 域名 内 的 各 类 DNS 记录 
的 命令 行 工 具 ， 也 是 查找 目标 主机 其 他 人 P 地 址 的 方法 之 一 。DNS 查询 结果 还 包括 目标 域内 
的 MX 记录 ， 从 而 了 解 目标 域内 的 邮件 服务 器 信息 。 一 般 用 户 的 做 法 都 是 将 服务 器 放 在 同一 
卫 地 址 段 中 ， 通 过 DNS 查询 ， 还 可 猜测 出 攻击 目标 临近 的 服务 器 人 P。 

获得 攻击 目标 人 P 地 址 的 更 简单 的 方法 是 使 用 ping 命令 ， 参 数 是 目标 域名 。ping 一 个 域 
名 时 ，TCP/IP 协议 栈 首先 要 将 目的 域名 解析 为 瑟 地址 ， 并 在 屏幕 上 显示 目的 中 。 


13.1.2 ”确定 攻击 目标 的 IP 地 址 范围 


当 攻 击 者 明确 单个 目标 主机 的 中 地址 后 , 通常 还 要 找 出 网 络 的 他 地 址 范围 及 子 网 掩 码 。 
这 样 做 有 两 方面 的 原因 : 其 一 ,假设 有 目的 他 地 址 为 10.10.10.5， 要 扫描 整个 A 类 地 址 段 需 
要 相当 长 的 时 间 。 如 果 确 定 目标 只 是 该 A 类 地 址 段 的 一 个 很 小 的 子 集 ， 则 能 大 大 节省 扫描 时 
间 ， 加 快 攻击 进度 。 其 二 ， 某 些 攻击 目标 安全 防范 措施 较 好 ， 对 其 进行 扫描 会 触发 报警 ， 因 
而 扫描 大 的 地 址 段 风险 较 大 。 

达到 此 目的 的 主要 手段 是 使 用 traceroute 命令 ， 该 命令 可 以 知道 一 个 数据 包 在 通过 网 络 
时 的 各 段 路 径 。 利 用 这 一 信息 ， 能 判断 主机 是 否 在 相同 的 网 络 上 。 通 常 ， 连 入 Intemet 上 的 
网 络 都 会 设置 一 个 出 口 路 由 器 (或 类 似 设备 )， 并 通过 防火 墙 后 的 交换 机 连接 其 他 入 网 计算 机 。 
因此 traceroute 输出 的 最 后 一 跳 Hop， 指 最 后 一 个 节点 ) 是 目的 机 器 ， 倒 数 第 二 跳 是 防火 墙 ， 
倒数 第 三 跳 则 为 出 口 路 由 器 。 通 过 同一 出 口 路 由 器 的 所 有 计算 机 都 属于 同一 网 络 。 因 此 攻击 
者 查看 通过 tranceroute 到 达 的 各 种 人 P 地 址 ， 根 据 这 些 目的 人 P 是 否 通过 相同 的 出 口 路 由 器 ， 
就 能 初步 判断 它们 是 否 属于 同一 网 络 。 
13.1.3 ”扫描 存活 主机 、 开 放 的 端口 


确定 目标 四 地 址 范围 后 , 攻击 者 需要 了 解 目 标 网 络 中 有 哪些 存活 主机 。 目标 网 络 中 不 同 
段 会 有 不 同 的 主机 处 于 开机 状态 。 通 常 攻击 者 在 白天 扫描 活动 的 机 器 ， 然 后 深夜 再 次 查找 ， 
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这 样 能 大 致 区 分 个 人 计算 机 和 服务 器 ， 因 为 服务 器 始终 都 处 于 运行 状态 ， 而 个 人 计算 机 通常 
只 在 白天 开机 。 

ping 命令 是 用 来 测试 目标 主机 的 存活 状态 的 基本 方法 。 如 果 目 标 主机 上 安装 了 防火 增 ， 
并 设置 不 响应 ping 命令 发 出 的 连通 性 测试 数据 包 , 则 需要 使 用 其 他 办 法 来 判断 目标 主机 是 否 
在 网 络 中 。 为 了 提高 扫描 效率 ， 通 常 使 用 专用 的 扫描 工具 软件 来 进行 扫描 ， 并 且 这 类 工具 会 
提供 类 似 ping 命令 等 多 种 方式 来 对 设 定 的 瑟 地 址 段 进行 扫描 。 

针对 目标 网 络 中 的 存活 主机 ， 需 要 进一步 了 解 其 运行 状况 。 首 先 要 掌握 的 就 是 目标 主机 
上 开放 了 哪些 端口 。 根 据 开 放 的 端口 来 判断 是 否 有 相应 的 漏洞 可 利用 ， 或 根据 端口 上 开放 的 
服务 来 分 析 目 标 系统 的 运行 状况 。 

端口 扫描 和 存活 主机 扫描 通常 在 一 次 扫描 过 程 中 完成 。 


13.1.4 分析 目 标 系统 


根据 存活 主机 扫描 、 端 口 扫描 过 程 中 目标 主机 返回 的 信息 ， 能 在 某 种 程度 上 判断 目标 主 
机 使 用 的 是 哪 一 种 操作 系统 。 不 同 的 操作 系统 有 不 同 的 漏洞 ， 相 应 有 着 不 同 的 漏洞 利用 程序 
及 入 侵 步 又 。 

此 外 ， 分 析 目 标 主机 的 开放 端口 上 监听 的 服务 ， 能 获得 关于 目标 的 更 多 信息 。 例 如 ， 扫 
描 得 知 目标 主机 的 TCP 25 端口 处 于 开放 状态 ， 则 可 连接 到 该 端口 ， 了 解 目 标 主机 上 运行 的 
电子 邮件 服务 程序 的 名 称 、 版 本 号 ， 然 后 查找 相应 邮件 服务 程序 对 应 的 版 本 是 否 有 可 利用 的 
漏洞 。 

有 一 些 探测 远程 主机 并 确定 在 运行 哪 种 操作 系统 的 程序 。 这 些 程序 通过 向 远程 主机 发 送 
不 平常 的 或 者 没有 意义 的 数据 包 来 完成 。 因 为 这 些 数 据 包 RFC(intemet 标准 ) 没 有 列 出 ， 一 个 
操作 系统 对 它们 的 处 理 方 法 不 同 ， 攻 击 者 通过 解析 输出 ， 能 够 弄 清 自己 正在 访问 的 是 什么 类 
型 的 设备 和 在 运行 哪 种 操作 系统 。 

总 之 ， 对 目标 系统 了 解 越 多 ， 找 到 其 缺陷 、 漏 洞 的 可 能 性 也 就 越 大 。 


13.2 口令 安全 


对 网 络 应 用 和 非 网 络 应 用 来 说 ， 口 令 机 制 是 最 基本 的 保护 措施 。 

对 非 网 络 应 用 而 言 ， 如 有 敏感 数据 希望 不 被 他 人 查看 ， 可 采用 加 密 压 缩 (打包 ) 进 行 存放 ， 
或 者 使 用 专用 的 基于 文件 或 基于 磁盘 分 区 的 加 密 工 具 软 件 保存 数据 ， 这 样 能 在 很 大 程度 上 保 
障 数据 的 安全 。 但 是 ， 数 据 加 密 对 数据 的 保护 效果 和 操作 者 的 使 用 方式 、 使 用 习惯 有 很 大 的 
关系 。 例 如 ， 对 Word 文档 的 保护 ， 使 用 Word 自身 提供 的 口令 机 制 ， 其 受 保护 程度 是 非常 
脆弱 的 ， 因 为 Office 2003 及 之 前 的 版 本 均 存 在 使 用 RC4 加 密 算法 时 的 漏洞 ， 即 使 是 长 达 20 
多 个 字符 的 口令 ， 通 过 漏洞 利用 工具 ， 也 可 在 儿 秒 钟 的 时 间 内 破解 。 

基于 用 户 名 、 口 令 的 访问 控制 机 制 ， 是 网 络 应 用 的 基本 安全 防范 机 制 。 许 多 网 络 应 用 会 
涉及 经 济 活动 或 经 济 利 益 ， 由 此 也 出 现 了 大 量 用 于 盗 取 网 络 应 用 口令 的 密码 窃取 工具 。 各 类 
网 络 应 用 为 了 降低 密码 被 次 的 概率 ， 绞 尽 脑汁 采取 了 各 种 手段 ， 将 用 户 输入 用 户 名 、 口 令 的 
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过 程 以 尽 可 能 安全 的 方式 进行 保护 。 
13.2.1 口令 破解 


典型 的 口令 破解 有 以 下 几 种 方法 。 
1. 暴力 破解 


就 是 利用 程序 自动 排列 字符 和 数字 的 组 合 ， 并 利用 这 个 排列 尝试 登录 系统 的 过 程 。 从 理 
论 上 来 说 ， 这 种 方式 能 破解 任何 系统 的 口令 ， 但 实际 中 这 种 方式 往往 是 效率 最 低 的 ， 在 系统 
有 基本 的 防范 措施 的 情况 下 , 依靠 暴力 破解 的 方式 是 不 可 能 获得 成 效 的 。 对 于 简单 口令 来 说 ， 
暴力 破解 的 破坏 力 是 相当 强大 的 。 如 果 口 令 位 数 不 多 ， 对 于 现代 计算 机 的 计算 能 力 来 说 ， 破 
解 就 是 儿 秒 钟 的 事情 。 

2. 字典 破解 


将 一 些 网 络 用 户 经 常 、 习 惯 使 用 的 口令 ， 以 及 曾经 通过 各 种 手段 所 获取 的 其 他 系统 的 口 
令 ， 集 中 在 一 个 文本 文件 中 。 破 解 程 序 读 取 这 个 “字典 ”文件 ， 针 对 目标 系统 自动 逐一 进行 
测试 登录 。 也 就 是 说 ， 只 有 当 目 标 用 户 的 口令 存在 于 其 字典 文件 中 ， 才 会 被 这 种 方式 找到 。 
这 个 看 上 去 “ 守 株 待 免 ” 的 方法 的 实际 效果 往往 好 于 预期 。 由 于 网 络 上 经 常 有 不 同 的 黑客 彼 
此 交换 字典 文件 ， 因 此 一 份 网 上 流传 的 字典 文件 ， 通 常 是 包含 了 很 多 黑客 对 于 口令 经 验 的 积 
累 。 对 于 安全 意识 不 高 的 用 户 ， 这 种 方式 的 破解 成 功率 较 高 。 

3. 掩 码 破 解 


所 谓 掩 码 口令 是 假设 我 们 已 经 知道 口令 的 某 一 位 或 几 位 ， 此 时 可 以 对 该 位 设置 掩 码 ， 将 
口令 的 其 他 各 位 使 用 字符 、 数 字 的 各 种 组 合 ， 通 过 不 断 尝试 来 猜测 口令 。 由 于 已 经 确定 口令 
中 部 分 位 置 的 字符 ， 因 而 在 此 前 提 下 破解 效率 能 得 到 一 定 提 高 。 这 种 破解 方式 常常 和 社会 工 
程 学 结合 ， 因 为 许多 用 户 习 惯用 生日 、 门 牌号 码 、 电 话 号 码 等 日 常生 活 中 用 到 的 数字 做 密码 ， 
在 口令 猜测 过 程 中 利用 相关 目标 的 这 些 信息 ， 能 显著 提高 破解 成 功率 。 

4. 网 络 嗅 探 破解 

与 前 3 种 方式 相 比 ， 这 种 方式 不 同 之 处 在 于 并 非 通过 不 断 的 尝试 来 破解 口令 。 这 种 方式 
的 工作 原理 是 ， 通 过 捕获 网 络 上 流 过 的 数据 ， 从 中 找 出 相关 的 口令 。 图 13-1 是 一 次 Web 邮 
箱 登 录 过 程 中 捕获 到 的 网 络 数据 ， 登 录 的 是 Intemet 上 的 免费 邮件 系统 http://mail.yeah.net/， 
读者 可 用 协议 分 析 软 件 自行 做 类 似 的 实验 。 注 意 观 察 图 13-1 中 方 框 中 的 数据 

“cookie=&user=test2007&pass=qwerzxcv123”, 即 可 看 到 该 邮箱 用 户 的 用 户 名 为 “test2007”， 
口令 为 “qwerzxcv123”。 这 种 口令 破解 方式 在 相关 应 用 系统 缺乏 基本 的 防范 措施 时 非常 有 效 。 
显然 ， 一 个 专业 的 应 用 网 络 应 用 系统 ， 不 应 该 将 用 户 账号 信息 以 明文 的 方式 在 网 络 中 传输 。 
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图 13-1 利用 捕获 到 的 网 络 数据 包 


13.2.2 ”设置 安全 的 口令 


使 用 与 个 人 、 亲 人 、 朋 友 的 信息 相关 的 数字 作为 口令 是 典型 的 “ 弱 口 令 ”， 这 种 口令 极 
易 被 破解 。 口 令 越 长 、 越 复杂 越 安 全 ， 例 如 ， 好 的 口令 不 应 仅仅 包含 数字 或 仅仅 包含 字符 ， 
其 至 字符 也 不 应 仅仅 包含 小 写 或 仅仅 包含 大 写 。 如 果 再 结合 “%##$^ +” 等 字符 ， 这 个 口令 
就 更 安全 了 。 

然而 ， 较 长 较 复杂 的 口令 安全 性 是 足够 了 ， 易 用 性 却 太 差 。 因 而 好 的 口令 应 当 不 仅仅 指 
口令 够 复杂 、 够 长 。 好 的 口令 应 当 是 指 其 构造 方法 : 口令 容易 记 住 ， 但 很 难 被 破解 。 以 下 是 
设置 好 的 口令 的 一 套 准 则 。 

1. 选择 核心 短语 

开始 要 选 一 个 至 少 5 个 单字 长 的 短语 。 这 可 以 是 某 首 歌 的 头 一 行 、 一 句 引 语 或 者 是 书 名 ， 
或 者 是 一 段 汉字 的 拼音 ， 只 要 能 牢记 就 行 。 然 后 利用 该 短语 创建 核心 口令 ， 通 常 的 办 法 是 取 
每 个 单词 的 头 一 个 字母 。 

比如 esotsm, 这 是 电影 《Eternal Sunshine ofthe Spotless Mind》 的 头 一 个 字母 组 成 的 口令 。 

这 个 简单 的 步骤 可 以 保护 口令 免 遭 受 字典 破解 攻击 。 因 为 字典 里 面 的 每 个 条 目 通常 是 由 
完整 的 单词 组 成 的 。 


2. 用 大 写字 母 、 数 字 或 者 符号 替代 一 些小 写字 母 


注意 混合 使 用 大 写 、 小 写字 母 及 数字 ， 在 脑子 里 记 住 替 换 规 则 ， 这 样 无 需 将 替换 后 的 
令 写 在 纸 上 或 文件 中 ， 从 而 避免 被 发 现 。 

例如 前 面 的 口令 esotstm， 我 们 将 第 一 个 和 最 后 一 个 字符 蔡 换 为 大 写 ， 将 其 中 的 字符 “o” 
替换 为 数字 “0”， 则 替换 之 后 口令 变 为 Es0tsM。 

这 个 步骤 显著 提 高 了 口令 的 复杂 性 ， 蔡 换 前 只 需 排 列 组 合 所 有 的 小 写字 符 ， 替 换 后 则 需 
排列 组 合 所 有 的 大 写字 符 、 小 写字 符 、 数 字 ， 使 得 暴力 破解 的 可 能 性 大 大 降低 。 

3. 针对 各 个 主机 或 应 用 定制 口令 


例如 ， 使 用 同一 个 核心 口令 ， 在 此 基础 上 根据 不 同 应 用 再 添加 若干 与 主机 或 应 用 系统 相 
关 、 便 于 记忆 的 字符 。 


加 | 


。270 。 计算 机 网 络 安全 教程 


例如 ， 基 于 前 述 核心 口令 Es0tsM， 我 们 可 以 把 ThinkPad X60 笔记 本 上 的 操作 系统 口令 
设置 为 Es0tsMTPX60， 把 运行 邮件 服务 器 的 HP 380G5 服务 器 的 操作 系统 口令 设置 为 
Es0tsMHP380G5。 口 令 长 度 加 长 了 ， 但 记忆 难度 却 基 本 不 变 。 

4. 根据 不 同安 全 需求 等 级 设置 不 同 的 口令 

如 果 相 关 账 户 不 涉及 财务 信息 ， 则 通常 使 用 一 个 核心 口令 短语 即 可 。 但 如 果 账 户 用 于 信 
用 卡号 码 、 涉 密 信息 等 ， 就 必须 使 用 不 同 的 核心 短语 ， 为 安全 起 见 ， 还 应 组 合 两 三 个 核心 短 
语 ， 从 而 加 强 口 令 的 安全 性 。 

理想 情况 下 ， 应 当 至 少 每 隔 90 天 就 要 更 改口 令 。 然 而 实际 操作 中 ， 因 管理 机 制 、 人 员 
素质 等 原因 ， 口 令 及 时 更 换 的 操作 常常 未 能 有 效 实施 。 


13.3 网 络 监 听 


网 络 监听 ， 又 称 为 网 络 嗅 探 (Snifp， 是 指 利 用 工具 软件 或 专用 硬件 ， 将 网 络 中 某 节 点 流 
经 的 数据 包 捕 获 下 来 ， 进 行 分 析 或 用 作 其 他 用 途 。 实 现 网 络 监听 的 工具 软件 ， 称 为 Sniffer。 
典型 的 网 络 监听 工具 软件 有 Ethereal( 开 源 软件 , 后 更 名 为 WireShark)、WildPacket EtherPeek( 新 
版 本 更 名 为 WildPacket OmniPeek)、Sniffer Pro 等 。 本 书 中 的 例子 以 开源 软件 Ethereal 为 主 来 
介绍 。 

网 络 监听 技术 通常 是 提供 给 网 络 安全 管理 人 员 进 行 管理 的 工具 ， 可 以 用 来 监视 网 络 的 状 
态 、 数 据 流 动情 况 以 及 网 络 上 传输 的 信息 等 。 当 信息 以 明文 的 形式 在 网 络 上 传输 时 ， 使 用 监 
听 技 术 进 行 攻击 很 容易 ， 只 要 将 网 络 适 配器 ( 即 网 卡 ) 设 置 成 监听 模式 (又 称 混 杂 模 式 )， 便 可 以 
源源 不 断 地 截获 网 上 传输 的 信息 。 网 络 监听 可 以 在 网 上 的 任何 一 个 位 置 实施 ， 如 局 域 网 中 的 
一 台 主 机 、 网 关上 或 远程 网 的 调制 解 调 器 之 间 等 。 


13.3.1 网 络 监听 原理 


目前 ， 局 域 网 市 场 中 ， 占 绝对 统治 地 位 的 以 太 网 使 用 的 CSMA/CD(Carrier Sense Multiple 
Access with Collision Detection， 带 冲突 检测 的 载波 监听 多 路 访问 )， 其 工作 方式 是 : 将 要 发 送 
的 数据 帧 发 往 连 接 在 一 起 的 所 有 主机 ， 帧 中 包含 着 目的 主机 的 网 卡 地 址 (MAC 地 址 )， 只 有 与 
数据 帧 中 地 址 一 致 的 那 台 主 机 才 会 接收 此 帧 ， 其 他 主机 收 到 后 直接 丢弃 此 帧 。 但 是 ， 若 主机 
的 网 络 接口 工作 监听 模式 下 ， 则 无 论 数据 帧 中 的 目标 地 址 是 多 少 ， 主 机 都 会 接收 此 帧 (当然 只 
能 监听 经 过 自己 网 络 接口 的 那些 包 )。 

在 Intemet 上 有 很 多 使 用 以 太 网 协议 的 局 域 网 ， 许 多 主机 通过 电线、 集线器 、 交 换 机 连 
在 一 起 。 当 同一 网 络 中 的 两 台 主机 通信 时 ， 源 主机 将 写 有 目的 主机 正 地 址 的 数据 包 直 接 发 向 
目的 主机 下 。 但 这 种 数据 包 不 能 在 人 * 层 直接 发 送 ， 必 须 把 TCP/P 协议 的 网 络 层 交 给 下 层 协 
议 ， 即 链 路 层 ， 而 网 络 接口 是 不 识别 人 地 址 的 ， 因 此 在 网 络 层 的 数据 包 向 下 到 链 路 层 时 ， 
会 增加 一 个 以 太 网 的 帧 头 的 信息 。 在 帧 头 中 有 两 个 域 ， 分 别 为 只 有 网 络 接口 才能 识别 的 源 主 
机 和 目的 主机 的 物理 地 址 ， 即 MAC 地 址 。 
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传输 数据 时 ， 包 含 物理 地 址 的 帧 从 网 络 接口 (网 卡 ) 发 送 到 物理 线路 上 ， 如 果 局 域 网 是 由 
一 条 粗 缆 或 细 线 连接 而 成 ， 则 数字 信号 在 电缆 上 传输 ， 能 够 到 达 线 路 上 的 每 一 台 主 机 。 当 使 
用 集线器 时 ， 由 集线器 再 发 向 连接 在 集线器 上 的 每 一 条 线路 ， 数 字 信号 也 能 到 达 连 接 在 集 线 
器 上 的 每 一 台 主 机 。 当 数字 信和 号 到 达 一 台 主 机 的 网 络 接口 时 ， 正 常情 况 下 ， 网 络 接口 读 入 数 
据 帧 进行 检查 ， 如 果 数 据 帧 中 携带 的 物理 地 址 与 自己 的 地 址 匹配 ， 数 据 帧 中 的 物理 地 址 是 广 
播 地 址 ， 则 将 数据 帧 交 给 上 层 协议 软件 ， 也 就 是 网 络 层 协 议 软 件 ， 否 则 就 将 这 个 帧 丢弃 。 对 
于 每 一 个 到 达 网 络 接口 的 数据 帧 ， 都 进行 这 个 处 理 过 程 。 

然而 ， 当 主机 工作 在 监听 模式 下 ， 所 有 的 数据 帧 都 将 被 交 给 上 层 协议 软件 处 理 。 而 且 ， 
当 连 接 在 同一 条 电线 或 集线器 上 的 主机 被 逻辑 地 分 为 几 个 子 网 时 ， 如 果 一 台 主机 处 于 监听 模 
式 下 ， 它 还 能 接收 到 发 向 与 自己 不 在 同一 子 网 (使 用 了 不 同 的 掩 码 、 卫 地 址 和 网 关 ) 的 主机 的 
数据 包 。 也 就 是 说 ， 在 同一 条 物理 信道 上 传输 的 所 有 信息 都 可 以 被 接收 到 。 此 外 ，TCP/IP 协 
议 的 设计 基于 一 种 非常 友好 的 、 通 信 的 双方 充分 信任 的 基础 之 上 ， 许 多 信息 以 明文 发 送 。 
此 ， 如 果 用 户 的 账户 名 和 口令 等 信息 也 以 明文 的 方式 在 网 上 传输 ， 而 此 时 一 个 黑客 或 网 络 攻 
击 者 正在 进行 网 络 监听 ， 只 要 具有 简单 的 网 络 和 TCP/IP 协议 知识 ， 便 能 轻易 地 从 监听 到 的 
信息 中 提取 出 感 兴趣 的 部 分 。 同 样 ， 正 确 使 用 网 络 监听 技术 也 可 以 发 现 入 侵 并 对 入 侵 者 进行 
追踪 定位 ， 在 对 网 络 犯罪 进行 侦查 取证 时 获取 有 关 犯 罪行 为 的 重要 信息 ， 成 为 打击 网 络 犯罪 
的 有 力 手段 。 
13.3.2 网络 监听 实践 

确定 网 络 中 需要 监听 的 节点 后 。 下 载 、 安 装 好 以 下 软件 ， 即 可 实现 网 络 监听 。 接 下 来 以 
Windows 环境 为 例 来 介绍 。 

e WinPcap。 建 议 到 其 官方 网 站 http:/www.winpcap.org 下 载 , 当前 最 新 稳定 版 本 是 4.1.1。 

e@ Ethereal 或 WireShark 。 建 议 到 其 官方 网 站 http:/www.ethereal.org 以 及 

http://www.wireshark.org 下 载 。Ethereal 和 WireShark 的 运行 需要 WinPcap 的 支持 ， 
因此 需要 先 安装 WinPcap， 再 安装 Ethereal 或 WireShark。 

安装 Ethereal 后 ， 运 行 其 主 程序 Ethereal.exe， 出 现 图 13-2 所 示 界 面 。 

进行 网 络 监听 前 , 需要 先 选 择 网 络 接口 (Interface, 网 卡 )， 以 决定 监听 哪 块 网 卡 上 的 数据 。 
操作 方法 是 选择 菜单 Capture 一 Interfaces， 如 图 13-2 所 示 。 


氏 品 | 国 争 中 中古 旦 古国 | 


Ready to load or capture No Pockets 


图 13-2 在 Ethereal 中 选择 准备 网 卡 


。272 。 计算 机 网 络 安全 教程 


当 所 操作 的 计算 机 中 有 多 块 网 卡 时 ， 需 要 注意 正 


确 区 分 。 图 13-3 所 示 的 计算 机 中 , 有 Bluetooth PAN、 | 站 四 、 编 加 查看 路 记 风 了 具 (” 震 
sp A @m-©- 访 [WD “ 


Realtek RTL8187、Reltek RTL8168 三 块 网 卡 , 其 中 第 ”na 上 BE 
二 块 网 卡 图 标 中 有 个 天 线 符号 ， 表 明 这 是 一 块 无 线 网 。 2 mtr 
卡 。 用 鼠标 单 击 某 块 网 卡 时 ， 在 状态 栏 中 都 会 提示 该 “| 最 训 Resrsaa 


攻 
i 网 络 电 阔 恋 拔 出 


网 卡 的 详细 名 称 。13-3 中 选中 的 是 “本 地 连接 ”对 应 经 es 
的 千 兆 以 太 网 卡 一 一 “Realtek RTL8168...Ethemet i 0 
NIC”。 

在 Ethereal 弹出 的 界面 中 ， 找 到 正确 的 网 卡 ， 单 
击 该 网 卡 对 应 的 Capture 按钮 ， 如 图 13-4 所 示 ， 即 开 
始 监听 该 网 卡 上 的 网 络 数据 。 图 13-3 选择 正确 的 网 卡 

启动 监听 后 ，Ethereal 会 出 现 一 个 协议 统计 界面 ， 包 含 名 类 协议 所 捕获 到 的 数据 包 计 数 
信息 以 及 停止 监听 的 按钮 ， 如 图 13-5 所 示 。 


Ethereal: Capture Interfaces 


Fr 
Description 中 Packets Packetsis Stop 

Realtek RTL8187 Wireless LAN USB NIC 192.168.1.123 0 0 capture| Prepare | pas 

Realtek 10/100/1000 Ethernet NIC unmown 0 0 capture| Prepare | betars| 

Bluetooth PAN Network Adapter NDIS Driver unown 0 0 capture | Prepare | betais| 


图 13-4 选择 正确 的 网 卡 监听 


侣 Ethereal: Capture from Hawkingieeiaala ea[e| 上 4 


Captured Packets 

Total 17 % of total 

5CTP 0 0.0% 
TCP 6 IE 35.3% 
UDP 2 | | 11.8% 
ICMP 0 0.0% 
ARP 0 0.0% 
O5PF 0 0.0% 
GRE 0 0.0% 
NetBIOS 0 0.0% 
IPX 0 0.0% 
WINES 0 0.0% 
other 9 | 52.9% 

Running 00:00:22 


图 13-5 ”网络 监听 中 的 协议 数据 包 统计 


需要 停止 监听 时 ， 单 击 Stop 按钮 ， 即 出 现 图 13-6 所 示 的 协议 数据 包 分 析 界 面 。Ethereal 
对 网 络 协议 的 数据 包 分 析 比 较 细致 , 图 13-6 界面 中 分 为 三 个 区 域 ， 上 方 包含 数据 包 序号 的 区 
域 是 数据 包 的 序号 、 时 刻 信 息 、 源 下 、 目 的 全 、 协 议 类 型 、 协 议 概要 信息 。 中 部 区 域 是 对 当 
前 选中 的 数据 包 的 协议 分 析 ， 列 出 了 从 链 路 层 到 网 络 层 、 传 输 层 、 应 用 层 的 协议 数据 的 每 一 
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个 字段 的 分 析 。 图 13-6 的 例子 是 应 用 层 的 例子 , 展示 了 一 次 电子 邮件 登录 过 程 中 应 用 层 数 据 。 
界面 下 方 区 域 中 是 当前 数据 包 的 16 进 制 数据 及 这 些 数据 对 应 的 ASCII 字符 。 


GITOETTT | 
(Ele Ei Vom Cote tray Fates Help | 
她 部 凶 全 所 忆 日 x 名 怠 国 4 时 国 加 QQQD 锌 回国 关 


mean | ore | ay 


Cache-Control: no-cache\r\n 
Cookie: logType=xy3; zUser=\r\n 
NrNn 


= 四 = 
3a 2U bc 6 67 5 79 70 .COoK1e : TogTypY 
55 73 65 72 3d 0d 0a 0d e 


Ga 
lest2007& pass=qwel 
rzxcv123 &sty1e=4| 


图 13-6 利用 网 络 数据 包 


13.3.3 网络 监听 防范 


网 络 监 听 较 难 被 发 现 ， 因 为 运行 网 络 监听 的 主机 上 只是 被 动 地 接收 在 局 域 网 上 传输 的 信 
息 ， 不 主动 与 其 他 主机 交换 信息 ， 也 没有 修改 在 网 上 传输 的 数据 包 。 

可 以 采取 以 下 措施 对 可 能 存在 的 网 络 监听 进行 检测 。 

e 对 于 怀疑 运行 监听 程序 的 机 器 ， 用 正确 的 他 地址 和 错误 的 物理 地 址 ping 该 机 器 ， 若 
其 运行 了 监听 程序 则 可 能 有 响应 。 这 是 因为 正常 的 机 器 不 接收 错误 的 物理 地 址 ， 处 
于 监听 状态 的 机 器 则 会 接收 ， 且 如 果 该 机 器 的 TCP/IP 协议 栈 不 再 次 反 向 检查 的 话 ， 
就 会 响应 。 

e 向 网 上 发 大 量 不 存在 的 物理 地 址 的 包 ， 由 于 监听 程序 要 分 析 和 处 理 大 量 的 数据 包 会 
占用 很 多 的 CPU 资源 ， 这 将 导致 性 能 下 降 。 通 过 比较 前 后 该 机 器 性 能 加 以 判断 ， 这 
种 方法 难度 比较 大 。 

e 使 用 反 监听 工具 如 Antisniffer 等 进行 检测 。 

要 做 到 对 网 络 监听 的 比较 有 效 的 防范 ， 可 采取 以 下 措施 。 


1. 从 逻辑 或 物理 上 对 网 络 分 段 

网 络 分 段 通常 被 认为 是 控制 网 络 广播 风暴 的 一 种 基本 手段 , 但 其 实 也 是 保证 网 络 安全 的 
一 项 措施 。 其 目的 是 将 非法 用 户 与 敏感 的 网 络 资源 相互 隔离 ， 从 而 防止 可 能 的 非法 监听 。 

2. 以 交换 式 集线器 ( 即 交 换 机 ) 代 替 共 享 式 集线器 


对 局 域 网 的 中 心 交 换 机 进行 网 络 分 段 后 ， 局 域 网 监听 的 危险 仍然 存在 。 这 是 因为 网 络 最 
终 用 户 的 接 入 往往 是 通过 普通 共享 式 集线器 。 用 共享 式 集线器 连接 的 网 络 环境 中 ， 两 台 机 器 
之 间 传 输 的 数据 包 ( 称 为 单 播 包 ，Unicast Packeb 还 是 会 被 同一 台 集线器 上 的 其 他 用 户 监听 。 
因此 ， 应 该 用 交换 机 代替 共享 式 集线器 ， 使 单 播 包 仅 在 两 个 节点 之 间 传 送 ， 从 而 防止 非法 监 
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听 。 但 是 , 利用 ARP 欺骗 (ARP Spoofing) 技 术 , 可 以 实现 交换 环境 下 的 网 络 监听 。 要 防范 ARP 
欺骗 ,需要 利用 交换 机 的 MAC 地 址 绑 定 功 能 , 但 普通 非 可 管理 的 交换 机 往往 没有 这 种 功能 。 


3. 使 用 数据 加 密 技术 


数据 经 过 加 密 后 ， 监 听 虽 然 可 以 得 到 传送 的 信息 ， 却 无 法 获取 其 有 效 内 容 。 使 用 加 密 技 
术 的 缺点 是 影响 数据 传输 速度 。 


4. 划分 VLAN 
运用 VLAN(Virtual LAN， 虚 拟 局 域 网 技术， 将 以 太 网 通信 变 为 点 到 点 通信 ， 可 以 防止 


大 部 分 基于 网 络 监听 的 攻击 。 
13.4 网 络 扫 描 


网 络 扫描 是 一 把 “ 双 刃 剑 ”。 用 于 善意 目的 时 ， 网 络 扫描 被 称 为 安全 评估 ， 是 系统 管理 
员 保 障 系统 安全 的 重要 手段 。 用 于 恶意 目的 时 ， 网 络 扫描 则 是 入 侵 者 入 侵 前 收集 信息 的 基本 
步骤 ， 目 的 是 为 了 获取 尽 可 能 多 的 关于 目标 的 各 类 信息 ， 为 后 续 入 侵 创 造 良好 条 件 。 

网 络 扫描 工具 可 以 通过 执行 一 些 脚本 文件 来 模拟 对 网 络 系统 进行 攻击 的 行为 并 记录 系 
统 的 反应 ， 从 而 搜索 目标 网 络 内 的 服务 器 、 路 由 器 、 交 换 机 和 防火 墙 等 设备 的 类 型 与 版 本 ， 
以 及 在 这 些 远程 设备 上 运行 的 服务 ， 并 报告 可 能 存在 的 脆弱 性 及 漏洞 。 


13.4.1 网 络 主机 扫描 


主机 扫描 的 目的 是 确定 在 目标 网 络 上 的 主机 是 否 可 达 。 这 是 信息 收集 的 初级 阶段 ， 其 效 
果 直 接 影响 到 后 续 的 扫描 。 

传统 的 主机 扫描 技术 利用 ping 命令 向 目标 主机 发 送 ICMP 数据 包 ， 数 据 包 内 包含 Echo 
Request 标记 ， 并 等 待 目标 主机 回复 包含 Echo Reply 标记 的 ICMP 数据 包 。 如 果 能 收 到 回复 ， 
则 表明 目标 系统 可 达 ( 同 时 说 明 目 标 主机 存活 在 网 络 中 )， 和 否则 表明 目标 系统 已 经 不 可 达 或 发 
送 的 数据 包 被 过 滤 掉 。 这 种 基于 ICMP Echo Request 和 Echo Reply 标记 的 扫描 方式 的 优点 是 
简单 、 所 有 操作 系统 都 支持 ， 但 缺点 在 于 这 类 数据 包 很 容易 被 防火 墙 过 滤 而 无 法 收 到 Echo 
Reply 包 。 

男 一 种 效率 更 高 的 利用 ICMP 协议 进行 扫描 的 方式 ， 可 以 通过 并 行 发 送 ， 同 时 探测 多 个 
目标 主机 ， 称 为 ICMP Sweep 扫描 。 其 实现 原理 是 : 将 ICMP 请 求 包 的 目标 地 址 设 为 广播 地 
址 或 网 络 地 址 ( 注 : 网 络 地 址 也 是 一 个 中 地址， 但 这 个 人 P 代表 一 个 网 络 地 址 段 ， 而 非 代 表 某 
台 特 定 的 主机 或 设备 )， 则 可 以 探测 广播 域 或 整个 网 络 范围 内 的 主机 。ICMP Sweep 扫描 的 最 
大 缺点 是 ， 只 适合 于 UNIX/Linux 类 操作 系统 ， 而 Windows 会 忽略 这 种 数据 包 。 此 外 ， 这 种 
扫描 方式 容易 引起 广播 风暴 ， 从 而 导致 网 络 内 的 通信 阻塞 。 

防火 墙 和 网 络 过 滤 设 备 常常 导致 传统 的 主机 扫描 技术 失效 。 为 了 突破 这 种 限制 ， 必 须 采 
用 一 些 非常 规 的 手段 ， 利 用 ICMP 协议 提供 网 络 间 传 送 错 误 信 息 的 手段 ， 往 往 可 以 更 有 效 地 
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达到 扫描 目标 主机 或 设备 的 目的 。 主 要 有 以 下 几 种 方式 。 
1. 构造 异常 的 IP 数据 包头 


向 目标 主机 发 送 包头 错误 的 卫 数据 包 ， 目 标 主机 或 过 滤 设 备 会 反馈 ICMP Parameter 
Problem Error(ICMP 参数 错误 ) 信 息 。 通 常 构造 错误 的 四 数据 包头 的 字段 为 Header Length( 头 
部 长 度 ) 和 卫 Options(IP 选项 )。 根 据 RFC 1122 的 规定 ， 主 机 应 该 检测 全 包 的 Version 
Number( 版 本 号 )、Checksum( 校 验 和 ) 字 段 ， 路 由 器 应 该 检测 中 包 的 Checksum 字段 。 不 同 厂 
家 的 路 由 器 和 操作 系统 对 这 些 错 误 的 处 理 方式 不 同 ， 返 回 的 结果 也 各 异 。 结 合 其 他 手段 ， 则 
可 初步 判断 目标 系统 所 在 网 络 过 滤 设 备 的 过 滤 规 则 。 

2. 在 IP 头 中 设置 无 效 的 字段 值 


向 目标 主机 发 送 的 卫 数据 包 中 填充 错误 的 字段 值 ， 目 标 主机 或 过 滤 设 备 会 反馈 ICMP 
Destination Unreachable(ICMP 目标 不 可 到 达 ) 信 息 。 这 种 方法 同样 可 以 探测 目标 主机 和 网 络 设 
备 及 其 过 滤 规 则 。 

3. 错误 的 数据 分 片 


当 目 标 主机 接收 到 错误 的 数据 分 片 (如 某 些 分 片 丢 失 )， 且 在 规定 的 时 间 间 隔 内 得 不 到 更 
正 时 ， 将 丢弃 这 些 错误 数据 包 ， 并 向 发 送 主机 反馈 ICMP Fragment Reassembly Time 
Exceeded(ICMP 片段 重组 超时 ) 错 误 报 文 。 这 种 方法 实现 的 扫描 效果 与 方法 1、2 类 似 。 

4. 通过 超 长 包 探测 内 部 路 由 器 


若 构造 的 数据 包 长 度 超过 目标 系统 所 在 路 由 器 的 MTU(Max Transfer Unit, 最 大 传输 单元 ) 
且 设 置 禁止 分 片 标 志 , 则 该 路 由 器 会 反馈 Packet needs to be fragmented but DF set( 数 据 包 需要 
分 片 ， 但 设置 了 禁止 分 片 标记 ) 差 错 报 文 ， 从 而 获取 目标 系统 的 网 络 拓扑 结构 。 图 13-7 是 用 
ping 命令 构造 长 包 的 一 个 例子 。 其 中 ping 命令 后 面 的 参数 “-n 1” 表 示 只 发 送 一 个 包 ， 参 
数 “-1 1800” 表 示 构 造 ICMP 包 的 数据 区 长 度 为 1800 字 节 。 主 要 注意 的 是 ，ICMP 包 的 头 
部 长 8 个 字 节 ， 加 上 了 正 数 据 包 的 头 部 为 20 个 字 节 ， 因 而 构造 出 的 这 个 人? 数据 包 总 长 度 为 
1800 十 8 十 20 王 1828 字 节 。 而 以 太 网 默认 的 帧 数据 区 MTU 为 1500 字 节 ， 因 此 构造 的 这 个 人 P 
数据 包 无 法 由 一 个 帧 容纳 ， 必 须 分 片 。ping 命令 的 参数 “-f” 表 示 在 构造 的 卫 数据 包 中 设置 
DFODon't Fragment， 禁 止 分 片 )。 


L:\>ping 192. 168.1.254 -n 1 -1 1800 -£ 3 


Pinging 192. 168. 1.254 with 1800 bytes of data: 
Packet needs to be fragmented but DF set 


Ping statistics for 192. 168. 1.254: 
Packets: Sent = 1, Received = 0, Lost = 1 (100% loss) 


LN PP 
WE 直 
图 13-7 构造 长 包 探 测 内 部 路 由 器 
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5. 反 向 映射 探测 


该 技术 用 于 探测 被 过 滤 设 备 或 防火 墙 保护 的 网 络 和 主机 。 通 常 这 些 目标 无 法 从 外 部 直接 
到 达 ， 但 是 可 以 采用 反 向 映射 技术 ， 利 用 目标 系统 的 路 由 设备 进行 有 效 的 探测 。 当 我 们 想 探 
测 某 个 未 知 网 络 内 部 的 结构 时 , 可 以 构造 猜测 的 内 部 中 地 址 列表 , 并 向 这 些 地 址 发 送 数据 包 。 
当 对 方 路 由 器 接收 到 这 些 数据 包 时 ， 会 进行 正 识别 及 路 由 选择 ， 对 不 在 其 服务 范围 的 中 包 
发 送 ICMP Host UnreachabledCMP 主机 不 可 到 达 ) 或 ICMP Time ExceededGCMP 超时 ) 错 误 报 
文 ， 没有 接收 到 相应 错误 报 文 的 他 地址 会 可 被 认为 存在 于 该 网 络 中 。 这 种 方法 的 扫描 效果 会 
受到 过 滤 设 备 的 影响 。 


13.4.2 主机 端口 扫描 


当 确定 了 目标 主机 存活 后 ， 就 可 以 使 用 端口 扫描 技术 ， 探 测 目 标 主机 的 开放 端口 ， 包 括 
网 络 协议 和 各 种 应 用 监听 的 端口 。 端 口 扫 描 技术 主要 包括 以 下 三 类 。 
1. 开放 扫描 


开放 扫描 是 指 扫描 过 程 会 尝试 建立 一 个 TCP 连接 , 若 目 标 端口 处 于 监听 状态 , 则 会 进行 
完整 的 TCP 三 次 握手 的 动作 。 这 种 扫描 方式 稳定 可 靠 ， 且 扫描 工具 无 需 具备 管理 员 权 限 即 可 
运行 。 但 这 种 扫描 方式 不 隐蔽 ， 服 务 器 日 志 会 记录 下 大 量 密集 的 连接 和 错误 记录 ， 并 容易 被 
目标 网 络 的 防火 墙 及 安全 设备 发 现 和 屏蔽 。 

2. 半 开 放 扫描 


半 开 放 扫 描 分 为 TCP SYN 扫描 、TCP 间接 扫描 两 种 方式 。 

TCP SYN 扫描 的 实现 原理 是 ， 扫 描 器 向 目标 主机 端口 发 送 TCP SYN 报 文 。 如 果 应 答 是 
RST 包 , 说 明 端 口 是 关 闭 的 ; 如 果 应 答 中 包含 SYN 和 ACK 包 , 说 明 目 标 端口 处 于 监听 状态 ， 
此 时 再 向 目标 主机 发 送 一 个 RST 报 文 ， 从 而 停止 建立 TCP 连接 。 由 于 在 SYN 扫描 时 ， 完 整 
的 TCP 连接 尚未 建立 ， 所 以 这 种 技术 通常 又 被 称 为 半 连 接 扫描 。TCP SYN 扫描 方式 的 优点 
是 隐蔽 性 比 开放 扫描 好 , 一 般 系 统 对 这 种 半 扫 描 很 少 记 录 。 这 种 方式 的 缺点 是 , 通常 构造 TCP 
SYN 数据 包 需 要 管理 员 用 户 权限 。 

TCP 间接 扫描 的 实现 原理 是 ， 利 用 第 三 方 的 耻 ( 坎 骗 主 机 ) 来 隐藏 真正 扫描 者 的 下 。 由 于 
目标 主机 会 对 欺骗 主机 发 送 回 应 信息 ， 所 以 必须 监控 欺骗 主机 的 网 络 通 信 ， 从 而 获得 原始 扫 
描 的 结果 。 扫 描 者 主机 通过 伪造 第 三 方 主机 卫 地 址 向 目标 主机 发 起 TCP SYN 扫描 ， 并 通过 
观察 其 TCP 报 文 内 序列 号 字段 的 增长 规律 ， 获 取 目 标 主机 端口 的 状态 。 这 种 方式 隐蔽 性 好 ， 
但 对 第 三 方 主机 的 要 求 较 高 。 

3. 隐蔽 扫描 


隐蔽 扫描 能 有 效 避 免 对 方 入 侵 检测 系统 和 防火 墙 的 检测 ， 但 这 种 扫描 使 用 的 数据 包 在 通 
过 网 络 时 容易 被 丢弃 从 而 产生 错误 的 探测 信息 。 隐蔽 扫描 主要 有 TCP FIN 扫描 、TCP Xmas 
扫描 、TCP Null 扫描 、 分 段 扫描 几 种 方式 。 

TCP FIN 扫描 的 实现 原理 是 , 扫描 器 向 目标 主机 端口 发 送 TCP FIN 报 文 ， 通 常 此 报 文 到 
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达 一 个 关闭 的 端口 , 报 文 会 被 丢掉 , 并 且 返 回 一 个 TCP RST 报 文 。 若 打开 的 端口 收 到 TCP FIN 
报 文 ， 则 直接 将 其 丢弃 ， 而 不 返回 RST。 由 于 这 种 技术 不 包含 标准 的 TCP 三 次 握手 协议 的 任 
何 部 分 ， 所 以 无 法 被 记录 下 来 ， 因 而 比 TCP SYN 扫描 隐蔽 得 多 ，TCP FIN 报 文 能 够 只 监测 
TCP SYN 报 文 的 防火 墙 。 但 是 ， 跟 TCP SYN 扫描 类 似 ， 这 种 方式 需要 自己 构造 数据 包 ， 要 
求 管理 员 用 户 权限 。 此 外 ， 这 种 方式 通常 只 适用 于 UNIX/Linux 类 目标 主机 ， 但 该 方法 在 
Windows 环境 下 无 效 ， 因 为 不 论 目标 端口 是 否 打开 ， 操 作 系统 都 返回 TCP RST 报 文 。 

TCP Xmas 和 TCP Null 扫描 是 TCP FIN 扫描 的 两 个 变种 。TCP Xmas 扫描 在 发 送 的 TCP 
报 文中 ， 设 置 FIN、URG 和 PUSH 标记， 而 TCP Null 扫描 关闭 所 有 标记 。 这 些 组 合 的 目的 
是 为 了 通过 对 TCP FIN 标记 过 滤 防 火 墙 等 安全 设备 。 当 一 个 报 文 到 达 一 个 关闭 的 端口 ， 报 文 
会 被 丢掉 ， 并 且 返 回 一 个 TCP RST 报 文 。 若是 收 到 打开 的 端口 ， 则 报 文 只 是 简单 地 被 丢弃 而 
不 返回 RST。 基 于 同样 的 原因 ， 这 种 方式 有 着 与 TCP FIN 扫描 同样 的 优点 、 缺 点 。 

分 段 扫描 并 不 直接 发 送 TCP 探测 报 文 ， 而 是 将 TCP 报 文 分 成 两 个 较 小 的 下 包 片 段 。 这 
样 就 将 一 个 TCP 头 分 成 好 几 个 正 数据 包 ， 从 而 防火 墙 等 包 过 滤器 就 很 难 探测 到 。 这 种 扫描 
方式 隐蔽 性 好 ， 可 穿越 防火 墙 。 但 这 种 数据 包 也 可 能 被 网 络 设备 丢弃 ， 并 且 某 些 程序 在 处 理 
这 些小 数据 包 时 会 出 现 异 常 。 


13.5 ”IP 欺骗 攻击 


卫 欺骗 攻击 是 在 服务 器 不 存在 任何 漏洞 的 情况 下 ， 通 过 利用 TCP/IP 协议 本 身 存在 的 一 
些 缺 陷 进 行 攻击 的 方法 ， 耳 欺骗 攻击 具有 一 定 的 难度 ， 需 要 掌握 有 关 协 议 的 工作 原理 和 具体 
的 实现 方法 。 


13.5.1 IP 欺骗 攻击 原理 


欺骗 利用 了 主机 之 间 的 正常 信任 关系 来 改动， 所 以 在 介绍 卫 欺骗 攻击 之 前 ， 先 说 明 
一 下 什么 是 信任 关系 ， 信 任 关 系 是 如 何 建 立 的 。 

在 UNIX 主机 中 ， 存 在 着 一 种 特殊 的 信任 关系 。 假 设 有 两 台 主机 HostA 和 HostB， 上 面 
各 有 一 个 账户 Tomy, 在 使 用 中 会 发 现 ,在 HostA 上 操作 需要 登录 HostA 上 的 相应 账户 Tomy， 
在 HostB 上 操作 则 必须 用 HostB 的 账户 Tomy 登录 ， 主 机 HostA 和 HostB 把 Tomy 当做 两 个 
互 不 相关 的 用 户 ， 这 不 够 方便 。 为 了 简化 操作 ， 可 以 在 主机 HostA 和 HostB 中 建立 起 两 个 账 
户 的 相互 信任 关系 。 在 HostA 和 HostB 上 Tomy 的 home 目录 中 创建 .rhosts 文件 ,从 主机 HostA 
上 ， 在 用 户 Tomy 的 home 目录 中 用 命令 : 


echo “HostB Tomy” > ~/.hosts 


即 可 建立 HostA 与 HostB 间 的 信任 关系 ,这 时 ， 从 主机 HostB 上 就 能 这 无 阻碍 地 使 用 任何 以 
r 开头 的 远程 调用 命令 , 如 dogin、rsh、rcp 等 , 而 无 需 输入 口令 验证 就 可 以 直接 登录 到 HostA 
上 。 这 些 命令 将 允许 或 者 拒绝 以 IP 地 址 为 基础 的 存 取 服 务 。 这 里 的 信任 关系 是 基于 IP 的 地 
址 的 。 
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当 /etc/hosts.equiv 中 出 现 一 个 “+” 或 者 SHOME/rhosts 中 出 现 “-++” 时 ， 表 明 任意 地 址 
的 主机 可 以 无 须 口令 验证 而 直接 使 用 r 命令 登录 此 主机 ， 这 是 十 分 危险 的 ， 但 这 是 很 多 管理 
员 容易 忽视 的 地 方 。 下 面 我 们 看 看 tlogin 的 用 法 。 

rlogin 是 一 个 简单 的 服务 程序 ， 它 的 作用 和 telnet 差不多 ， 不 同 的 是 telnet 完全 依赖 口令 
验证 , 而 tlogin 是 基于 信任 关系 的 验证 , 其 次 是 进行 口令 的 验证 , 它 使 用 TCP 协议 进行 传输 。 
当 用 户 从 一 台 主 机 登录 到 另 一 台 主机 上 ， 并 且 如 果 目 录 主 机 信任 它 ，zlogin 将 允许 在 不 需要 
口令 的 情况 下 使 用 目标 主机 上 的 资源 ， 安 全 验证 完 便 基于 源 主机 的 他 地 址 。 因 此 ， 根 据 以 上 
所 举 的 例子 ， 我 们 能 利用 rlogin 从 HostB 远程 登录 到 HostA， 而 且 不 会 被 要 求 输入 口令 。 

根据 以 上 分 析 ， 既 然 HostA 和 HostB 之 间 的 信任 关系 是 基于 人 P 址 建立 起 来 的 ， 那 么 如 
能 够 冒充 HostB 的 卫 ， 就 可 以 使 用 rlogin 登录 到 HostA， 而 不 需 任何 口令 验证 。 这 就 是 卫 坎 
骗 的 基本 理论 依据 。 但 人 P 欺骗 的 实际 实现 远 没 有 这 么 简单 。 虽 然 可 以 通过 编程 的 方法 随意 改 
变 发 出 的 包 的 下 地址， 但 TCP 协议 对 下 进行 了 进一步 的 封装 ， 它 是 一 种 相对 可 靠 的 协议 。 
下 面 看 一 次 正常 的 TCP/IP 会 话 的 过 程 。 
由 于 TCP 是 面向 连接 的 协议 ， 所 以 在 双方 正式 传输 数据 之 前 ,需要 用 “三 次 握手 ”来 建 
立 一 个 可 靠 的 连接 。 假 设 还 是 HostA 和 HostB 两 台 主机 进行 通信 ，HostB 首先 发 送 带 有 SYN 
标志 的 TCP 报 文 ， 通 知 HostA 建立 TCP 连接 ，TCP 的 可 靠 性 就 是 由 数据 包 中 的 多 位 控制 字 
来 提供 的 ， 其 中 最 重要 的 是 数据 序号 (SYN) 和 数据 确认 序号 标志 (ACK)。B 将 TCP 报头 中 的 
SYN 设 为 自己 本 次 连接 中 的 初始 序号 (Initial Sequence Number，ISN)。 

当 HostA 收 到 HostB 的 SYN 包 之 后 , 会 发 送 给 HostB 一 个 带 有 SYN+ACK 标志 的 TCP 
报 文 , 告 之 自己 的 ISN, 并 确认 HostB 发 送 来 的 第 一 个 数据 段 , 将 ACK 设置 成 HostB 的 SYN+1。 

当 HostB 确认 收 到 HostA 的 SYN+TACK 数据 包 后 ， 将 ACK 设置 成 HostA 的 SYN+1。 
HostA 收 到 HostB 的 ACK 后 ， 完 整 的 TCP 连接 成 功 建立 ， 双 方 即 可 双向 传输 数据 。 

根据 此 过 程 可 知 ， 假 如 想 冒 充 HostB 对 HostA 进行 攻击 ， 就 要 先 使 用 HostB 的 也 地 址 
发 送 SYN 标志 给 HostA， 但 是 当 HostA 收 到 后 ， 并 不 会 把 SYN+ACK 发 送 到 我 们 的 主机 上 ， 
而 是 发 送 到 真正 的 HostB 上 去 ， 这 时 卫 欺骗 就 失败 了 ， 因 为 HostB 根本 没 发 送 SYN 请 求 。 
所 以 如 果 要 冒充 HostB, 首先 要 让 HostB 失去 工作 能 力 , 即 通 过 所 谓 的 拒绝 服务 攻击 (Denial of 
Service，DoS)， 设 法 让 HostB 瘫痪 。 

但 仅仅 这 样 还 不 够 , 最 难 的 就 是 要 对 HostA 进行 攻击 , 首先 必须 知道 HostA 使 用 的 ISN。 
TCP 使 用 的 ISN 是 一 个 32 位 的 计数 器 ， 从 0 到 4、294、967、295( 即 232 一 D)。TCP 为 每 一 
个 连接 选择 一 个 初始 序列 号 ISN), 为 了 防止 因为 延迟 、 重 传 等 干扰 TCP 三 次 握手 , ISN 不 能 
随便 选取 ， 不 同 的 系统 有 着 不 同 的 算法 。 理 解 TCP 如 何 分 配 ISN 以 及 ISN 随时 间 的 变化 规 
律 ， 对 于 成 功 进行 IP 欺骗 攻击 很 重要 。ISN 约 每 秒 增加 128 000， 如 果 有 连接 出 现 ， 每 次 连 
接 将 把 计数 器 的 数值 增加 64 000。 显 然 ， 这 使 得 用 于 表示 ISN 的 32 位 计数 器 在 没有 连接 的 
情况 下 每 9.32 小 时 复位 一 次 。 之 所 以 这 样 ， 是 因为 它 有 利于 最 大 限度 地 减少 “ 旧 有 ”的 连接 
信息 干扰 当前 连接 。 如 果 ISN 是 随意 选择 的 ， 那 么 不 能 保证 现 有 序 例 号 是 不 同 于 先前 的 。 假 
设 有 这 样 一 种 情况 ， 在 一 个 路 由 回路 中 的 数据 包 最 终 跳出 循环 ， 回 到 “| 旧 有 ”的 连接 ， 显 然 
这 会 对 现 有 连接 产生 干扰 。 预 测 攻 击 目标 的 ISN 非常 困难 ， 且 不 同 操作 系统 也 不 相同 。 
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卫 欺骗 攻击 最 困难 的 地 方 在 于 预测 A 的 ISN。 攻击 难度 虽然 大 , 但 在 某 些 情况 下 成 功 的 
可 能 性 也 很 大 。 例如， 入 侵 者 控制 了 一 台 由 A 到 B 之 间 的 路 由 器 (假设 称 为 Z)， 则 A 发 网 到 
B 的 所 有 数据 ，Z 都 可 以 看 到 ， 包 括 A 发 出 TCP 报 文中 的 ISN， 此 时 攻击 显然 明显 下 降 。 


13.5.2 ”IP 欺骗 攻击 防范 


对 于 来 自 网 络 外 部 的 中 欺骗 攻击 , 防范 方法 很 简单 , 只 需要 在 局 域 网 的 出 口 路 由 器 上 加 
一 个 访问 控制 规则 ， 禁 止 外 部 向 内 部 网 络 的 声称 来 自 于 网 络 内 部 的 数据 包 即 可 。 

对 于 来 自 局 域 网 外 部 的 卫 欺骗 攻击 的 防范 则 可 以 使 用 出 口 防火 墙 完成 , 原理 类 似 出 口 路 
由 器 的 设置 。 但 是 对 于 来 自 内 部 网 络 的 攻击 通过 设置 防火 墙 则 毫 无 作用 ， 此 时 应 注意 内 部 网 
络 的 路 由 器 是 否 支持 多 个 接口 。 如 果 路 由 器 支持 内 部 网 络 子 网 的 两 个 或 多 个 接口 ， 则 必须 提 
高 警惕 ， 因 为 它 很 容易 受到 IP 欺骗 ， 这 也 正 是 为 什么 Web 服务 器 放 在 防火 墙 外 面 更 加 安全 
的 原因 。 

通过 对 信息 包 的 监控 来 检查 人 P 欺骗 攻击 是 非常 有 效 的 方法 , 使 用 netlog 等 信息 包 检 查 工 
具 对 信息 的 源 地 址 和 目的 地 址 进行 验证 ， 如 果 发 现 信 息 包 来 自 两 个 以 上 的 不 同 地 址 ， 则 说 明 
系统 有 可 能 受到 了 IP 欺骗 攻击 ， 有 来 自 于 防火 墙 外 的 入 侵 企图 。 


13.6 ”网 络 钓 色 攻 击 


在 传统 的 利用 系统 漏洞 和 软件 漏洞 进行 入 侵 攻 击 的 可 能 性 越 来 越 小 的 前 提 下 ， 网 络 钓鱼 
已 经 逐渐 成 为 黑客 们 趋 之 若 阔 的 攻击 手段 。 同时 无 论 网 络 相 关 的 客户 端 软件 还 是 大 型 的 Web 
网 站 都 开始 发 觉 网 络 钓鱼 已 经 成 为 了 一 个 严峻 的 问题 ， 并 积极 防御 。 

正 7.0 浏览 器 开始 加 入 反 钩 鱼 功能 ， 这 个 功能 成 为 浏览 器 安全 功能 的 一 个 选项 ， 仿 冒 网 
站 筛选 器 。 各 类 IM 软件 ， 如 QQ 等 开始 出 现 提示 用 户 防 止 被 网 络 钓鱼 的 安全 信息 。 电 子 商 
务 、 门 户 、SNS、BLOG 等 大 部 分 Web 2.0 热门 网 站 也 开始 公告 用 户 ， 提 醒 其 防止 被 网 络 钓鱼 。 


13.6.1 ”网 络 钓鱼 攻击 原理 


网 络 钓鱼 属于 社会 工程 学 攻击 的 一 种 ,简单 的 描 叙 就 是 通过 伪造 信息 获得 受害 者 的 信任 
并 且 响 应 ， 由 于 网 络 信息 是 呈 爆 炸 性 增长 的 ， 人 们 面 对 各 种 各 样 的 信息 往往 难以 涂 认 真 伪 ， 
依托 网 络 环境 进行 钓鱼 攻击 是 一 种 非常 可 行 的 攻击 手段 。 

网 络 钓鱼 从 攻击 角度 上 分 为 两 种 形式 ， 一 种 是 通过 伪造 具有 “概率 可 信和 度 ” 的 信息 来 欺 
骗 受 害 者 ， 这 里 提 到 了 “概率 可 信和 度 ” 这 个 名 词 ， 从 逻辑 上 说 ，“ 概 率 可 信和 度 ” 就 是 有 一 定 
的 概率 使 人 信任 并 且 响 应 ， 从 原理 上 说 ， 攻 击 者 使 用 “概率 可 信 度 ”的 信息 进行 攻击 ， 这 类 
信息 在 概率 内 正好 吻合 了 受害 者 的 信任 度 ， 受 害 者 就 可 能 直接 信任 这 类 信息 并 且 响 应 。 而 另 
外 一 种 则 是 通过 “身份 欺骗 ”信息 来 进行 攻击 ， 攻 击 者 必须 掌握 一 定 的 信息 ， 利 用 人 与 人 之 
间 的 信任 关系 ， 通 过 伪造 身份 ， 使 用 这 类 信任 关系 伪造 信息 ， 最 终 使 受害 者 信任 并 且 响 应 。 

经 常 出 现 的 是 第 一 种 形式 的 网 络 钓鱼 攻击 ， 比 如 形形色色 的 虚假 中 奖 信息 等 。 在 今天 这 
个 Web 2.0 大 行 其 道 的 网 络 上 ， 使 用 Google、 百 度 来 查询 姓名 都 有 可 能 得 到 真实 的 信息 ， 在 
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大 型 的 SNS(Social Networking Service) 网 络 社区 ,一 个 名 字 就 能 查询 出 和 你 所 有 相关 的 人 的 敏 
感 信息 ， 个 人 隐私 几乎 已 经 不 复 存在 。 如 果 这 类 敏感 信息 被 用 作 第 三 种 形式 的 钓鱼 攻击 ， 后 
果 将 不 堪 设 想 。 同时 这 两 种 形式 的 攻击 原理 也 被 常用 作 Web 蠕虫 的 传播 手段 , 比如 利用 Web 
应 用 的 消息 功能 传播 蠕虫 链接 和 恶意 代码 等 ， 当 收 到 朋友 的 信息 时 ， 可 能 就 会 直接 打开 、 浏 
览 信息 ， 使 蠕虫 得 以 进一步 的 传播 。 下 面 介绍 可 以 被 用 作 网 络 钓鱼 的 一 些 Web 攻击 技术 。 


1. URL 编码 结合 钓鱼 技术 


首先 我 们 要 明确 一 个 概念 ， 浏 览 器 除了 支持 ASC I 人 码 字符 的 URL， 还 支持 ASC 人 码 以 
外 的 字符 ， 同 时 支持 对 所 有 的 字符 进行 编码 。URL 编码 就 是 将 字符 转换 成 16 进 制 并 在 前 面 
加 上 “%” 前 级 ， 比 如 我 们 将 google 的 域名 后 级 .cn 进行 URL 编码 得 到 : 

http://www.google%2E%63%6E 

其 中 ，“.cn” 这 三 个 字符 就 是 以 每 个 字符 的 16 进 制 形式 加 上 “%” 前 级， 浏览 器 和 服 
务 端 都 能 够 正常 支持 。 攻 击 者 是 怎么 通过 URL 编码 进行 钓鱼 攻击 呢 ? 钓鱼 攻击 者 常用 的 攻 
击 伎俩 就 是 混淆 URL， 通 过 利用 相似 的 域名 和 内 容 来 骗取 受害 者 的 信任 ， 这 里 就 存在 一 个 相 
似 度 的 值 ， 通 过 URL 编码 就 能 提高 URL 的 相似 度 ， 假 如 我 们 拥有 任意 一 个 y19mll.cn 这 样 
的 域名 ， 使 用 子 域名 配合 URL 编码 就 能 提高 相似 度 ， 比 如 先 制 造 一 个 
http://www.google.cn.y19mll.cn 的 子 域名 ， 通 过 URL 编码 将 得 到 如 下 URL: 

http://www.google.cn%2E%79%31%39%6D%6C%31%2E%63%6E 

很 容易 理解 ， 一 个 普通 用 户 在 浏览 信任 度 极 高 的 网 站 时 ， 被 攻击 者 使 用 “概率 可 信和 度 ” 
信息 和 “身份 欺骗 ”信息 配合 相似 度 极 高 的 URL， 在 惯性 思维 下 很 难 分 辨 一 个 URL 的 真 伪 。 


2. Web 漏洞 结合 钓鱼 技术 


近 两 年 来 ，XSS 漏洞 开始 成 为 Web 漏洞 中 的 一 个 大 热门 ，XSS 漏洞 的 特性 就 是 能 够 在 
网 页 中 插入 JavaScript 代码 运行 。JavaScript 几乎 能 做 任何 事情 ,传统 的 XSS 漏洞 攻击 可 能 是 
直接 获取 客户 端 和 服务 端的 会 话 ， 可 能 是 制作 Web 蠕虫 攻击 整个 Web 服务 ， 除 利用 XSS 漏 
洞 针 对 Web 服务 进行 直接 攻击 的 风险 之 外 ，XSS 漏洞 还 能 被 用 作 钓 鱼 攻击 。 为 了 更 深入 了 
解 XSS 钓鱼 的 危害 ， 这 里 举 一 个 简单 的 例子 。 网 页 中 被 插入 JavaScript 运行 后 ， 是 能 够 做 到 
直接 算 改 页 面 内 容 的 ， 将 如 下 的 JavaScript 代码 放 入 任何 一 个 已 有 内 容 的 网 页 ， 将 清空 原 有 
内 容 ， 并 写 入 其 他 内 容 。 

window.onload=function PhishO{ 


document.openO; 


document.clear(); 

document.write( Phshing test...); 

document.close(); 

} 

当 钓 鱼 攻击 者 利用 网 站 的 Web 漏洞 进行 钓鱼 ， 网 站 管理 员 到 这 里 应 该 意识 到 问题 的 严 
重 性 , 这 类 钓鱼 攻击 并 不 是 针对 网 站 的 Web 服务 业务 进行 攻击 , 而 是 利用 网 站 的 信任 度 对 网 
站 所 有 的 用 户 进行 攻击 。 当 用 户 进入 自己 信任 的 网 站 而 浏览 的 却 是 钓鱼 网 页 , 对 网 站 的 直接 、 
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间接 损害 就 难以 评估 了 。 
3. 伪造 E-mail 地 址 结合 钓鱼 技术 


伪造 E-mail 地 址 乍 看 起 来 很 困难 , 但 是 经 常 接触 邮件 服务 器 的 技术 人 员 应 该 知道 , 我 们 
可 以 通过 邮件 代理 服务 器 发 送 匿 名 邮件 ， 在 没有 邮件 代理 服务 器 的 情况 下 可 以 在 本 地 架设 服 
务 器 发 送 匿名 邮件 ， 甚 至 可 以 直接 利用 Web 脚本 程序 使 用 虚拟 主机 、Web 服务 器 的 邮件 服 
务 发 送 匿 名 邮件 。 通 过 邮件 代理 服务 器 可 以 直接 修改 邮件 原始 信息 中 MIME 头 的 FROM 字 
段 ， 也 就 是 发 件 人 地 址 。 利 用 这 种 匿名 邮件 可 以 伪造 任何 人 的 身份 发 送 邮件 ， 如 下 面 的 部 分 
原始 邮件 头 信息 : 

Received:fromlocalhost(unknown[202.103.0.123]) 

By 192,168.1.1(Postfix)withESMTPid8D20F606002 

forTue,21June201010:03:08+0800(CST) 

Subject 你 中 奖 了 ! 

MIME-Version:1.0 

From: admin@gmail.com 

To: test@we.com 

MIME 头 中 的 FROM 字段 是 可 以 控制 的 ， 这 里 伪造 成 了 admin@gmail.com 的 地 址 ， 而 
现在 很 多 邮件 服务 商 对 这 类 匿 邮件 并 没有 提供 防护 措施 ， 造 成 的 后 果 是 一 个 钓鱼 攻击 者 能 够 
伪造 任何 人 、 任 何 官方 的 身份 发 送 钓 鱼 邮 件 ， 而 一 个 普通 用 户 是 完全 无 法 辨认 信息 真 伪 的 。 


4. 浏览 器 漏洞 结合 钓鱼 技术 


浏览 器 的 地 址 栏 欺 骗 漏 洞 和 跨 站 脚本 漏洞 可 以 实现 完美 的 钓鱼 攻击 ， 地 址 栏 欺 骗 漏洞 实 
现 的 效果 就 是 攻击 者 可 以 在 真实 的 URL 地 址 下 伪造 任意 的 网 页 内 容 ， 跨 站 脚本 漏洞 实现 的 
效果 是 可 以 跨 域名 跨 页 面 修改 网 站 的 任意 内 容 ， 当 我 们 访问 一 个 URL, 返回 的 却 是 攻击 者 可 
以 控制 的 内 容 ， 如 果 这 里 伪造 是 一 个 钓鱼 网 页 内 容 ， 普 通用 户 将 无 从 分 辩 真 伪 。 

这 种 钓鱼 攻击 是 最 严重 的 ， 因 为 这 类 攻击 利用 的 是 客户 端 软件 漏洞 ， 完 全 不 受 服 务 端 程 
序 和 网 络 环境 的 限制 ， 是 网 站 管理 员 无 法 控制 的 ， 只 能 在 知道 漏洞 的 情况 下 积极 打上 软件 补 
丁 ， 或 使 用 安全 软件 修补 客户 端 软件 的 漏洞 。 


13.6.2 ”网 络 钓鱼 攻击 防范 


从 防范 的 角度 来 看 ， 网 络 钓鱼 攻击 主要 分 为 两 个 方面 ， 一 方面 是 对 钓鱼 攻击 利用 的 资源 
进行 限制 ， 一 般 钓鱼 攻击 所 利用 的 资源 是 可 控 的 ， 如 Web 漏洞 是 Web 服务 提供 商 可 以 直接 
修补 的 ， 邮 件 服务 商 可 以 使 用 域名 反 向 解析 邮件 发 送 服务 器 提醒 用 户 是 否 收 到 匿名 邮件 。 利 
用 即时 通信 软件 QQ、MSN 等 ) 传 播 的 钓鱼 URL 链接 是 即时 通信 服务 提供 商 可 以 封杀 的 。 另 
一 方面 是 不 可 控制 的 行为 ， 比 如 浏览 器 漏洞 ， 用 户 必须 及 时 打上 操作 系统 补丁 、 应 用 程序 补 
本， 以 防御 攻击 者 直接 使 用 客户 端 软件 漏洞 发 起 的 钓鱼 攻击 ， 各 个 安全 软件 三 商 也 可 以 提供 
修补 客户 端 软 件 漏洞 的 功能 。 同 时 各 大 网 站 应 保护 所 有 用 户 的 隐私 ， 及 时 提醒 所 有 的 用 户 防 
止 钓鱼 ， 提 高 用 户 的 安全 意识 ， 从 两 个 方面 积极 防御 钓鱼 攻击 。 
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现在 的 网 络 钓鱼 攻击 并 未 做 到 主动 防御 ， 但 当前 国内 如 QQ、MSN 等 即时 通信 软件 ， 开 
始 提醒 用 户 不 要 打开 未 知 的 不 可 信 的 链接 ， 防 止 被 欺骗 。 

网 络 钓鱼 攻击 还 可 以 通过 内 容 关 键 字 匹 配 URL 进行 主动 检测 ， 当 前 Intemet 上 的 网 页 木 
马 等 恶意 代码 横行 ， 杀 毒 软件 提供 了 查 杀 网 页 恶意 代码 的 功能 ， 这 类 查 杀 方式 最 初 是 使 用 恶 
意 代 码 关键 字 特 征 码 进行 查 杀 ， 而 网 络 钓鱼 也 拥有 钓鱼 关键 字 ， 这 些 关键 字 大 都 具有 趋 利 性 
项， 充满 了 大 量 的 虚假 信息 ， 这 类 信息 也 是 具有 特征 的 ， 比 如 中 奖 、 各 类 银行 账号 、 虚 假 电 
话 号 码 等 ， 可 按照 杀毒 软件 的 模式 建立 起 一 个 钓鱼 的 关键 字 特 征 库 配 合 URL 特征 进行 匹配 
分 析 ， 在 一 定 程序 上 主动 检测 或 防御 钓鱼 攻击 。 

除 使 用 Web 攻击 技术 实施 网 络 钓鱼 ， 攻 击 者 还 可 以 使 用 网 络 协议 漏洞 进行 钓鱼 ， 比 如 
网 络 上 泛滥 的 ARP 攻击 、DNS 劫持 、DHCP 劫持 漏洞 等 。 总 之 ， 网 络 攻击 技术 层出不穷 ， 
但 防御 手段 也 会 随 着 攻击 技术 不 断 更 新 ， 只 有 保持 积极 防御 的 态度 才能 做 到 最 大 化 的 防御 。 
当前 ， 我 国 对 于 网 络 钓鱼 诈骗 的 立法 还 不 够 完善 ， 一 些 网 络 钓鱼 诈骗 在 定罪 量刑 时 仍 沿用 了 
传统 的 定罪 量刑 标准 , 不 能 体现 网 络 犯罪 等 新 型 犯罪 的 特点 ， 比 如 诈骗 金额 在 2000 元 以 下 的 
罪案 并 没有 在 《刑法 》 中 量刑 ， 这 对 于 网 络 钓鱼 诈骗 金额 的 小 额 多 量 的 分 布 式 特性 无 法 很 好 
的 取证 ， 还 有 待 相关 法 律 的 进一步 完善 。 


13.7 Web 安全 


Web 是 Intemet 上 最 为 普及 、 广 泛 的 应 用 类 型 。Web 应 用 具有 操作 简便 、 部 署 及 更 新 便 
捷 的 特点 ， 越 来 越 多 的 应 用 正在 将 中 心 由 传统 的 C/S(ClienvVServer， 客 户 端 / 服 务 器 ) 结 构 向 
B/S(Browser/Server， 浏 览 器 /服务 器 ) 结 构 转 移 。 

Web 应 用 的 迅速 普及 也 带 来 相关 的 安全 威胁 日 益 严 重 。 近 年 来 ， 针 对 Web 网 站 的 攻击 
呈现 规模 化 、 隐 蔽 化 趋势 ， 并 将 攻击 目标 锁定 为 知名 合法 网 站 。2009 年 11 月 以 来 , 著名 Web 
安全 解决 方案 提供 商 WebSense 安全 实验 室 监测 到 , 一 场 大 规模 恶意 代码 注入 活动 正在 蔓延 ， 
数 万 合法 网 站 已 经 受到 攻击 ， 数 亿 网 民 受 到 影响 。 而 对 于 Web 安全 , 用 户 或 多 或 少 存在 认识 
上 的 误区 ,无论 是 对 它 的 危害 程度 还 是 企业 应 该 采取 的 保护 方法 上 都 需要 有 一 个 清醒 的 认识 。 


13.7.1 Web 安全 威胁 
当前 的 Web 应 用 面临 的 威胁 主要 有 以 下 特征 。 
1. Web 威胁 的 目标 是 敏感 数据 和 抽取 利益 


面 对 来 势 测 测 的 Web 威胁 ， 绝 大 多 数 企业 并 没有 真正 意识 到 其 中 的 危机 。 一 方面 ， 恶 
意 网 站 以 600% 的 年 增长 速度 在 迅速 增加 ; 另 一 方面 ，77% 带 有 恶意 代码 的 Web 网 站 是 被 植 
入 恶意 代码 的 合法 网 站 。 如 果 把 前 者 比 作 可 避免 的 明 枪 的 话 ， 作 为 暗 箭 的 后 者 则 可 以 轻 而 易 
举 地 攻击 无 束 Web 用 户 ， 进 而 危及 企业 网 络 中 的 数据 。 

Web 攻击 是 目前 数据 窃取 的 主要 途径 。 监 测 结果 显示 ， 当 前 57% 的 数据 窃取 攻击 是 经 由 
Web 实现 的 。 由 于 基于 Web 2.0 的 安全 威胁 具有 定向 性 、 隐 蔽 性 和 区 域 性 爆发 等 特点 ， 所 以 
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越 来 越 多 的 合法 网 站 被 挂 马 ( 植 入 木马 程序 )、 被 注入 (利用 Web 应 用 程序 的 漏洞 实现 对 Web 
站 点 、 服 务 器 的 入 侵 及 控制 )， 对 此 不 知情 的 员工 对 Intemet 的 依赖 性 使 得 企业 网 络 比 以 往 更 
加 容易 受到 攻击 ， 使 得 一 次 普通 的 浏览 网 页 也 变 成 了 一 件 具 有 很 大 安全 风险 的 事情 。 针 对 
Web 应 用 的 攻击 ， 可 以 在 用 户 完全 没有 察觉 的 情况 下 进入 企业 网 络 ， 从 而 对 企业 数据 资产 、 
行业 信誉 和 关键 业务 构成 极 大 的 威胁 。 即 便 是 一 些 看 上 去 并 不 重要 的 信息 片段 ， 一 旦 被 偷窃 
者 汇集 并 归纳 ， 其 后 果 仍 可 能 导致 公司 内 部 机 构 设 置 、 战 略 合作 伙伴 关系 、 核 心 客户 等 重要 
信息 被 泄露 。 

Web 攻击 的 目标 是 企业 及 政府 、 军 事 部 门 的 数据 ， 绝 大 多 数 的 最 终 目 的 是 为 了 获取 商业 
利益 。Ponemon 研究 机 构 的 一 项 研究 也 证 明了 这 一 点 ， 数 据 汇 露 、 丢 失 等 破坏 行为 的 平均 开 
销 正在 逐年 增加 。 并 直接 给 企业 带 来 业务 损失 ， 损 失 占 到 企业 总 花费 的 69%。Forrester 同样 
在 名 为 “计算 安全 信息 泄密 代价 ”的 调查 中 发 现 : 三 分 之 一 以 上 的 企业 都 曾 遭 遇 到 数据 泄漏 
事件 ， 其 中 一 半 公 司 由 于 数据 泄漏 事件 付出 了 惨痛 代价 。 与 员工 上 班 玩 游戏 、 炒 股 、 聊 天 、 
下 载 等 行为 造成 工作 效率 下 降 、 带 宽 资源 紧张 相 比 ，Web 攻击 造成 的 损失 就 是 数据 泄漏 ， 直 
接 给 企业 造成 经 济 损失 ， 因 而 成 为 当前 企业 面临 的 最 紧迫 的 安全 问题 。 


2. 传统 防护 手段 难以 防范 Web 应 用 安全 威胁 


对 付 Web 威胁 , 传统 的 防护 模式 是 否 能 够 有 效 化 解 呢 ? 答案 是 否定 的 。 越 来 越 多 的 Web 
攻击 者 将 合法 网 站 做 目标 ，77% 带 有 恶意 代码 的 Web 网 站 是 被 植 入 恶意 攻击 代码 的 合法 网 
站 ， 甚 至 某 些 知名 网 站 也 有 网 页 被 挂 马 的 案例 。 即 便 如 此 ， 相 关 网 站 的 业务 必须 保持 不 间断 
运行 ,不 能 因为 Web 站 点 的 安全 威胁 而 利用 上 网 行为 管理 产品 整体 封锁 整个 网 站 。 此 外 ， 尽 
管 大 多 数 Web 2.0 网 站 自身 都 会 采取 防 挂 马 、 防 注入 等 保护 措施 ， 但 是 研究 结果 显示 
65%~75% 的 YouTube( 全 球 最 大 的 视频 短片 分 享 网 站 ) 和 BlogSpot(Google 的 博客 服务 ) 所 采用 
的 社区 驱动 型 安全 工具 在 保护 Web 用 户 避 开 不 良 内 容 以 及 风险 控制 方面 的 效果 并 不 理想 。 

面 对 来 势 测 测 的 新 型 Web 威胁 ， 传 统 安全 措施 无 法 跟 上 Web 内 容 及 应 用 类 型 不 断 变 化 

Sst er tte tt de rope 
网 站 恶意 上 一 样 容易 ， 另 一 方面 网 络 应 用 程序 越 来 越 多 ， 传 统 的 防护 模式 已 经 力不从心 ， 
便 是 如 今 已 经 运用 的 非常 成 熟 的 “病毒 特征 码 查 杀 ”技术 ， 随 着 病毒 爆发 的 生命 Wn 
短 ， 其 传统 的 安全 系统 防御 模型 更 是 滞后 于 病毒 的 传播 ， 用 户 只 能 处 于 预防 威胁 、 检 测 威胁 、 
处 理 威胁 、 策 略 执行 的 循环 之 中 。 即 使 利用 市 场 上 现 有 最 快速 的 反 病毒 系统 和 服务 机 制 ， 企 
业 仍 然 不 能 防范 最 新 的 威胁 ， 因 为 服务 方 往往 无 法 及 早 和 完整 地 介入 整个 新 病毒 事件 。 


3. Web 安全 和 防 信息 泄露 是 企业 自我 保护 的 基本 条 件 


Web 2.0 改变 了 企业 使 用 Intemet 的 方式 。 通 过 诸如 Facebook 和 Twitter 之 类 的 网 站 ， 员 
工 可 以 自己 创建 内 容 并 迅速 与 数 千 人 分 享 。 这 些 网 站 中 的 内 容 是 动态 的 ， 传 统 的 安全 系统 无 
法 控制 。 为 了 在 工作 中 使 用 Web 2.0， 企 业 需 要 采用 新 的 方式 来 保护 重要 信息 。 

有 效 的 防范 Web 威胁 和 防止 数据 泄漏 的 安全 解决 方案 ， 应 当 基 于 Web 安全 与 防 信息 泄 
露 的 有 效 结 合 。Web 安全 方案 可 以 有 效 过 滤 来 自 Intemet 的 风险 ， 将 数据 窃取 的 企图 消灭 在 
萌芽 阶段 ， 而 防 信息 泄露 方案 可 以 对 企业 的 信息 资源 进行 针对 性 的 保护 。 
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具体 来 说 ，Web 安全 方案 提供 全 面 的 覆盖 范围 、 可 见 性 和 控制 ， 对 于 “ 谁 能 够 发 送 什么 
信息 、 在 哪里 发 送 、 如 何 发 送 ” 全 部 一 目 了 然 。 数 据 泄漏 防护 方案 可 以 识别 、 监 视 和 保护 机 


密 数据 。 通 过 将 Web 安全 方案 与 数据 泄漏 防护 方案 相 结 
精确 防 上 数据 泄漏 ， 保 护 业 务 流程 。 


结合 ， 企 业 可 以 有 效 控 和 


| Web 风险 ， 


下 面 是 一 次 典型 的 利用 SQL 注入 漏洞 ， 对 一 个 测试 站 点 的 攻击 过 程 。 
图 13-8 使 用 一 个 内 网 了 P 地址， 架设 了 一 个 基于 ASP 程序 的 测试 站 点 ， 该 站 点 是 一 个 软件 
下 载 站 , 所 使 用 的 ASP 程序 被 广泛 应 用 于 Intemet 上 的 其 他 一 些 软件 下 载 站 点 。 我 们 使 用 Intemet 


上 的 免费 Web 应 用 安全 测试 工具 对 这 个 站 点 进行 测试 。 


ETT7ITTITTITTOTTTTRTTTTECTTRTTTTTTTTTTT 


El Edt Vew Favorktes TIools Help 


Bk : 同 鸭 国 况 | 训 search 窜 Favortes 名 | 全 "总 已 口 芭 


Address | 图 http://10.10.171.161/ist.asprid=3118 7| 加 = = 


」 注 软 件 下 载 >>>>>》 搜狗 拼音 输入 v4.0 


四 日 没有 下 载 
软件 名 称 ”搜狗 拼音 输入 v4.0 
软件 类 型 


运行 环境 Win9xyWinNTAWin20007WinlE 


-| ”授权 方式 ”免费 软件 
软件 大 小 13. 44 有 
软件 评价 ”次 太 太太 交 
上 传 时 间 2009-1-14 
相关 链接 主页 
本 日 下 载 1 本 周 :0 总 计 : 93 


| 本 周 没有 下 载 


[| [1 [ Internet 


图 13-8 基于 ASP 程序 的 测试 站 点 


我 们 使 用 的 Web 应 用 测试 工具 名 为 Pangolin， 如 图 13-9 所 示 。 


URL http://10.10,171,161/st.asp?7d=3118 ||leer ~ Poed WP Sp 
Type [None > 天 [unmowm KeyWord optons 上 名 peset 昌 


Pangoln 
Version 1.3 


Copyright 2005-2008 ee zwell@sohu.com> and ct 


ontributor 
THOS Pree software; There ENO warrariy not even For MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE, 


Compiled with openssl, with lbcurl, with sqlte, Bult using Borland C++ Buider 2006, 


Check http:/Jwww.nosec,org for more information. 


图 13-9 ”Web 应 用 测试 工具 (Pangolin) 


Pangolin 的 使 用 非常 简单 ， 只 需 在 其 界面 的 URL 栏 中 填写 目标 站 点 的 一 个 带 参数 的 
URL, 然后 单 击 Check 按钮 即 可 。 在 本 例 中 , 填 入 图 13-8 界面 中 显示 某 软件 下 载 页 面 的 URL 
“http://10.10.171.161/list.asp?id=3118”， 图 13-9 中 已 填 好 此 地 址 。 


单 击 Check 按钮 后 数秒 ， 出 现 图 13-10 所 示 的 界面 。 
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Maded By Zwell -- http://www.nosec.org 


ttp: jf10.10.171.161/ist. asprid=: > Pb check I Pause 癌 sop 
Type [Integer -DB Access ~ KeyWard 隔 朱 可 本 options 部 Reset 生 


国 Infomatons Informations BM Datas Datas 


Pangoin 
Version 1.3 


Copyright 2005-2008 Zwel. <zwel@sohu,com> and contributor: 
This is free softwarei,There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE, 


Compiled with openssl with libcurl, with sqlite. Built using Borland C++ Builder 2006, 


Check http://www.nosec,org for more information. 


DB typ ‘cess 
The Pes re 0 


ield 
String se Postonat: 0 


图 13-10 测试 目标 站 点 后 的 主 界面 (一 ) 


由 图 13-10 可 见 ，Pangolin 测试 目标 站 点 后 ， 确 认 站 点 使 用 的 数据 库 为 Access， 界 面 中 

部 Information 栏 的 右 侧 出 现 了 一 个 Datas 栏 ， 表 示 可 能 探测 到 目标 站 点 的 数据 库 内 容 。 单 击 
“Datas” 栏 ， 并 在 新 的 界面 中 单 击 中 下 部 的 Tables 按钮 ， 则 Pangolin 会 尝试 获取 目标 站 点 数 
据 库 内 的 各 个 数据 表 (Table)， 成 功 后 就 列 出 在 界面 中 部 。 

本 例 中 测试 结果 会 得 到 一 个 名 为 admin 的 数据 表 , 双击 此 表 , 并 选中 表 中 的 各 个 字段 id、 
username、password， 然 后 单 击 界面 中 下 部 的 Data 按钮 ， 界 面 见 图 13-11。 由 图 13-11 可 见 ， 
利用 这 个 免费 的 Web 应 用 测试 工具 , 经 过 简单 的 几 步 操作 ,就 获得 了 这 个 网 站 的 管理 员 用 户 
名 、 口 令 。 事实 上 ，Intemet 上 存在 类 似 Web 应 用 漏洞 的 网 站 相当 多 ， 因 Web 应 用 程序 编写 
不 严谨 、 缺 乏 基 本 的 安全 保护 措施 导致 的 网 站 被 攻击 的 事件 在 网 络 安全 问题 中 显得 日 益 突 出 。 


和 161/list.asp?id=3118 ~ lr ~ Poek pa sp 
Type [integer -De access KeyWord 隔 扫 可 optons Reset 多 


图 13-11 测试 目标 站 点 后 的 主 界面 (二 ) 
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13.7.2” Web 安全 防范 基础 


Web 应 用 的 安全 保障 需求 是 无 可 置疑 的 ， 然 而 ， 只 有 先 卉 明白 了 自己 的 站 点 是 如 何 被 攻 
击 的 ， 才 可 能 设法 保护 它们 。Web 应 用 安全 防范 的 基本 要 求 ， 就 是 定期 对 自己 管理 的 网 站 进 
行 “渗透 测试 (Penatration Tesb ”， 渗 透 测试 与 攻击 者 对 网 站 进行 攻击 的 过 程 非常 相似 ， 不 同 
之 处 主要 在 于 ， 渗 透 测试 的 目的 是 发 现 网 站 的 缺陷 、 漏 洞 以 及 时 处 理 和 修补 ， 而 恶意 攻击 的 
目的 是 为 了 破坏 网 站 的 正常 运行 或 为 了 经 济 利益 等 盗 取 相关 信息 及 数据 。 

全 面 、 系 统 的 渗透 测试 操作 ， 被 称 为 安全 评估 。 针 对 当前 Web 站 点 的 安全 现状 ， 最 好 
的 方式 就 是 在 部 署 相应 的 安全 防范 安全 解决 方案 的 同时 ， 还 必须 采取 与 攻击 者 相同 的 手段 ， 
也 就 是 在 网 站 的 运营 过 程 中 ， 不 断 对 它 进行 安全 评估 ， 以 此 来 找到 网 站 中 可 能 存在 的 脆弱 性 
和 漏洞 。 

对 Web 站 点 进行 安全 评估 ， 为 了 能 够 达到 最 终 的 效果 ， 事 先 先 制定 一 个 切合 实际 的 安 
全 评估 方案 是 十 分 有 意义 的 。 当 然 ， 对 于 一 些 个 人 网 站 ， 或 者 只 进行 一 次 Web 站 点 渗透 测试 
来 说 , 也 可 以 跳 过 制定 安全 评估 方案 这 个 环节 , 直接 使 用 系统 或 Web 脆弱 性 检测 工具 对 Web 
站 点 所 在 的 系统 和 其 本 身 进行 详细 的 测试 。 

如 果 需 要 对 一 个 Web 站 点 进行 全 面 的 安全 评估 ， 或 者 需要 一 个 安全 评估 方案 来 指导 你 
完成 相应 的 Web 站 点 渗透 测试 任务 , 那么 , 我 们 可 以 按 下 列 内 容 来 构建 一 个 适合 自己 实际 需 
求 的 Web 站 点 安全 评估 方案 。 首 先 ， 为 Web 站 点 安全 评估 确定 一 个 最 终 目 标 ， 也 就 是 为 什 
么 要 这 么 做 ， 这样 做 需要 达到 什么 目的 。 其 次 ,为 Web 站 点 的 安全 评估 指定 安全 评估 人 ， 并 
确定 安全 评估 时 具体 的 评估 对 象 , 为 Web 站 点 的 安全 评估 制定 具体 的 时 间 计 划 表 。 如 果 没 有 
特殊 情况 ， 则 应 当 严 格 按照 这 张 时 间 表 规 定 的 时 间 对 Web 站 点 实施 安全 评估 。 然 后, 为 Web 
站 点 的 安全 评估 指定 具体 的 评估 工具 ， 并 要 求 评估 人 员 对 这 些 工具 进行 相应 的 学 习 ， 以 达到 
熟练 掌握 它们 的 目的 ， 还 必须 规定 评估 人 员 按 时 对 这 些 评估 软件 所 依赖 的 评估 漏洞 库 和 软件 
本 身 进行 不 断 的 更 新 。 接 下 来 , 需要 确定 是 将 安全 评估 工具 安全 装 在 目标 Web 服务 器 进行 安 
全 评估 ， 还 是 在 专门 的 硬件 设备 (例如 笔记 本 电脑 ) 上 安装 评估 软件 ， 然 后 在 使 用 时 再 接 入 目 
标 网 络 实施 评估 任务 。 同 时 ， 还 需 明确 具体 的 安全 评估 方法 ， 明 确 安全 评估 过 程 中 需要 注意 
的 操作 事项 ， 明 确 安 全 评估 的 规章 制度 和 评估 人 员 责 任 ， 规 定安 全 评 佑 结果 的 记录 方式 ， 以 
及 评 佑 报告 的 上 报 、 存 档 和 检索 方式 。 

Web 站 点 安全 评估 方案 应 当 根 据 实际 的 网 络 环境 以 及 站 点 的 具体 内 容 和 功能 , 经 过 详细 
的 调查 和 分 析 , 再 由 安全 评估 参与 人 员 共 同 完成 。 当然 , 一 个 实际 的 Web 站 点 安全 评估 方案 ， 
所 包括 的 内 容 可 能 比 上 述 所 列 出 的 内 容 要 多 得 多 ， 也 详细 得 多 ， 在 这 里 只 是 对 它们 做 一 个 简 
单 的 说 明 ， 具 体内 容 还 需要 大 家 根据 实际 情况 具体 补充 。 

对 Web 站 点 进行 安全 评估 是 Web 安全 防范 处 理 过 程 中 非常 重要 的 一 个 环节 ， 它 应 当 贯 
罕 站 点 的 整个 生命 周期 。 对 Web 站 点 实施 安全 评估 的 目的 就 是 指 安 全 评估 人 员 使 用 相应 的 评 
估 工 具 和 技术 ， 经 过 一 系列 恰当 的 方法 ， 对 Web 服务 器 本 身 、 服 务 器 系统 、 后 台数 据 库 系统 
及 网 络 中 己 经 实施 的 安全 机 制 进行 全 面 的 检测 和 评估 , 以 此 来 检测 整个 Web 系统 是 否 还 存在 
漏洞 ， 以 及 验证 实施 的 安全 机 制 是 否 有 效 。 并 根据 最 后 的 评估 分 析 结 果 ， 对 现 有 的 安全 策略 
进行 修订 ， 对 实施 的 安全 机 制 进行 补充 。 
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Web 站 点 安全 评估 的 具体 实施 涉及 四 个 最 关键 的 因素 , 它们 是 安全 评估 人 员 、 评估 工具 、 
评 佑 方法 和 评估 对 象 。 
1. 安全 评估 人 员 


安全 评估 人 员 应 当 包 括 Web 站 点 所 有 者 、 管 理 员 及 安全 评估 实施 人 员 。 安 全 评估 实施 
人 员 的 技术 和 经 验 以 及 工作 态度 在 一 定 程度 上 决定 了 评估 的 效果 和 可 信 性 。 

有 时 ， 一 些 Web 站 点 不 得 不 将 安全 评估 任务 外 包 给 一 些 具 有 安全 评估 资质 的 第 三 方 机 
构 来 完成 ， 这 也 是 一 些 没有 具体 的 Web 站 点 管理 员 的 中 小 企业 Web 网 站 经 常 使 用 的 方式 。 

还 有 一 些 Web 站 点 ， 所 有 的 工作 都 是 由 站 点 管理 员 一 个 人 来 完成 ， 对 于 这 样 的 Web 站 
点 安全 评估 报告 ， 通 常 只 会 被 他 自己 接受 ， 也 就 是 用 来 对 站 点 当前 的 安全 状况 进行 一 次 简单 
的 体检 ， 以 此 做 到 心中 有 数 。 

2. 安全 评估 工具 


安全 评估 工具 需要 根据 所 要 评估 的 具体 对 象 来 选择 。 不 同 的 评估 对 象 ， 所 使 用 的 评估 工 
具 是 不 相同 的 。 这 是 由 于 有 些 安全 评估 工具 只 是 针对 某 种 服务 或 软件 ， 有 些 是 针对 整个 主机 
或 网 络 的 ， 有 些 安全 评估 工具 只 能 在 某 种 操作 系统 平台 下 运行 ， 而 有 些 安 全 评估 工具 却 能 在 
许多 流行 的 操作 系统 平台 下 运行 。 一 些 安全 评估 工具 是 软件 方式 的 ， 还 有 一 些 是 以 独立 的 硬 
件 方式 存在 的 ， 有 些 安全 软件 是 免费 的 ， 而 有 一 些 是 商业 的 。 由 此 ， 要 找到 一 款 合适 的 安全 
评估 工具 还 真 的 不 是 随便 选择 几 样 这 么 简单 。 并 且 ， 其 他 人 认为 非常 好 用 的 安全 评估 工具 ， 
对 于 我 们 自己 来 说 并 不 见得 合适 ， 因 此 ， 有 时 我 们 需要 经 过 不 断 的 试用 才能 知道 哪儿 款 评 估 
软件 才 是 最 适合 我 们 自己 的 。 

幸运 的 是 , 现在 已 经 有 了 许多 功能 强大 的 评估 工具 可 供 我 们 选择 , 这 些 工 具 包 括 以 下 儿 个 。 

1) Nmap 

Nmap 是 一 个 网 络 探测 和 安全 扫描 程序 , 我 们 可 以 使 用 它 来 扫描 Web 站 点 所 在 系统 或 整 
个 网 络 ， 并 以 此 来 得 到 Web 站 点 所 在 系统 正在 运行 及 提供 的 服务 ， 开放 的 端口 ， 使 用 的 操作 
系统 等 信息 。Nmap 支持 包括 UDP、TCP Connect、TCP SYN、ICMP、TCPFIN 及 TCP ACK 
等 扫描 方式 ， 其 中 有 许多 扫描 方式 还 可 以 用 来 检测 防火 墙 及 IDS/IPS 等 设备 的 回应 情况 。 

Nmap 能 够 在 类 UNIX 系统 及 Windows 系统 的 终端 下 以 命令 方式 运行 , 它 的 命令 执行 格 
式 为 : nmap [扫描 类 型 ] [选项 ] 。 

我 们 可 以 从 http:/nmap.org/ 网 站 上 下 载 它 的 最 新 版 本 ， 以 及 它 的 详细 说 明文 档 。 

2) Nessus 

Nessus 同样 是 一 个 功能 强大 的 安全 检测 工具 , 它 允 许 用 户 使 用 插件 对 它 进 行 功能 上 的 扩 
展 。Nessus 使 用 一 个 频繁 更 新 的 漏洞 库 作为 安全 检测 的 依据 。 我 们 可 以 到 www.nessus.org 网 
站 上 下 载 到 它 的 免费 版 本 Nessus 3， 以 及 它 的 详细 使 用 文档 。 现 在 相当 数量 的 安全 人 员 都 使 
用 它 来 对 网 络 或 主机 系统 进行 全 面 安全 检测 。 

3) Nikto 

Nikto 是 一 款 开放 源 代码 、 功 能 强大 的 Web 脆弱 性 扫描 评估 软件 , 它 能 对 Web 服务 器 的 
多 种 安全 项 目 进行 测试 ， 能 在 230 多 种 服务 器 上 扫描 出 2600 多 种 有 潜在 危险 的 文件 、CGI 
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及 其 他 问题 。Nikto 使 用 LibWhiske 漏洞 库 ，Nikto 目前 已 成 为 Web 站 点 管理 员 必 备 的 Web 
安全 检测 工具 之 一 。 

可 以 到 http://www.cirtnet/ 网 站 上 下 载 Nikto 的 最 新 版 本 .Nikto 是 基于 PERL 开发 的 程序 ， 
所 以 需要 PERL 环境 。 因此， 当 Nikto 需要 在 Windows 系统 下 使 用 时 ， 要 同时 下 载 并 安装 
ActiveStatePerl 环境 。 当 需要 Nikto 使 用 SSL 的 安全 方式 对 Web 站 点 进行 安全 扫描 时 ， 还 会 
用 到 Net::SSLeayPERL 模式 ， 此 时 必须 保证 系统 中 安装 有 OpenSSL。 具 体 安装 和 使 用 细节 可 
以 参考 它们 的 帮助 文档 。 

另外 ， 还 有 一 个 与 Nikto 相似 的 Web 脆弱 性 扫描 工具 Wikto， 它 不 仅 具 有 Nikto 同样 的 
功能 ， 还 提供 GUI 图 形 界面 ， 但 只 能 在 Windows 系统 下 运行 。 这 个 工具 可 以 到 
http://www.sensepost.com/research/wikto/ 下 载 。 

4) N-Stealth 

N-Stealth 是 ZMT 公司 出 品 的 一 款 商 业 的 Web 站 点 安全 扫描 软件 , 同时 也 有 可 以 免费 使 
用 的 版 本 ， 只 是 功能 没有 商业 版 本 的 多 ， 漏 洞 库 也 不 支持 自动 更 新 。 我 们 可 以 到 
www.nstalker.com 网 站 上 下 载 它 的 最 新 版 本 ， 它 可 以 在 Windows98/ME/2000/XP/2003 系统 下 
运行 。 

除了 上 面 介绍 的 安全 扫描 软件 以 外 ， 还 有 一 些 软件 也 可 以 用 来 进行 安全 检测 工作 ， 包 括 
X-Scan 3.3、WeblInject 1.41 和 AcunetixWVS， 以 及 一 款 功 能 全 面 且 性 能 强大 的 商业 安全 扫描 
软件 ISS Internet Scanner 等 。 

另外 ， 在 使 用 任何 评估 工具 之 前 ， 要 先 对 其 漏洞 库 进 行 升 级 更 新 。 这 是 由 于 现在 大 多 数 
安全 评估 工具 都 是 利用 漏洞 特征 库 来 进行 脆弱 性 检测 的 ， 只 有 保证 它们 的 漏洞 特征 库 为 最 新 
状态 ， 才 有 可 能 发 现 Web 站 点 及 所 依赖 的 系统 可 能 存在 的 最 新 漏洞 。 


3. 安全 评估 方法 


安全 评估 方法 就 是 具体 的 安全 评估 实施 方式 ， 它 主要 涉及 下 列 五 个 具体 方面 。 

1) 由 外 向 内 测试 

这 种 安全 评估 方式 就 是 以 攻击 者 的 角度 从 Web 站 点 所 在 网 络 结构 中 的 外 部 ， 对 它 进 行 
安全 扫描 工作 , 以 此 来 检测 Web 站 点 防范 来 自 互 联网 远程 攻击 的 能 力 。 此 种 测试 方式 可 以 使 
用 上 述评 估 工 具 中 的 N-Stealth、X-Scan 和 Web Inject 等 工具 来 进行 。 

2) 由 内 向 外 测试 
由 内 向 外 的 安全 检测 方式 是 指 从 Web 站 点 所 在 网 络 结构 的 内 部 ， 对 它 进 行 安全 扫描 工 
作 。 这 种 安全 检测 方式 主要 用 来 检验 Web 站 点 对 来 自 内 部 的 攻击 防范 能 力 ,以 及 检测 对 用 户 
权限 分 配 情况 和 内 部 数据 传输 过 程 中 的 安全 性 。 此 时 可 使 用 一 些 操作 系统 内 部 网 络 命令 ， 例 
如 Netstat， 以 及 Hping 和 Nikto、X-Scan、Nmap、AcunetixWVS 等 工具 来 进行 完成 检测 任务 。 

3) 模拟 攻击 测试 

模拟 攻击 测试 是 指 在 实际 的 测试 过 程 中 并 不 对 Web 站 点 所 在 服务 器 系统 及 Web 应 用 程 
序 、 网 络 设备 进行 真正 的 攻击 事件 。 这 种 测试 方式 并 不 会 对 Web 站 点 的 性 能 产生 影响 , 平时 
大 部 分 的 安全 评估 工作 应 当 使 用 模拟 攻击 的 测试 方式 。 
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4) 真实 攻击 测试 

当 使 用 模拟 攻击 测试 不 能 真正 检验 到 网 站 的 安全 状况 时 ， 就 可 以 使 用 真实 的 攻击 测试 。 
由 于 攻击 是 真实 的 ， 会 对 Web 站 点 的 性 能 造成 影响 ， 因 而 这 种 方式 最 好 在 Web 开发 的 最 初 
阶段 ， 以 及 没有 Web 业务 的 时 候 进行 。 现 在 有 很 多 的 网 站 都 会 请 一 些 专门 的 黑客 来 对 自己 的 
站 点 进行 真实 的 攻击 ， 以 便 最 大 程度 地 检测 出 Web 站 点 中 存在 的 安全 漏洞 问题 。 

5) 社会 工程 攻击 测试 

有 许多 人 认为 社会 工程 只 是 攻击 者 用 来 进行 攻击 的 一 种 手段 ， 却 不 知 它 也 是 一 种 很 好 的 
检测 企业 内 部 员工 及 站 点 管理 员 反 社会 工程 攻击 能 力 强度 的 评测 工具 。 我 们 可 以 通过 电话 、 
手机 短信 及 电子 邮件 的 方式 对 评测 的 人 员 实施 与 攻击 相同 的 社会 工程 攻击 测试 。 同 样 ， 我 们 
还 可 以 通过 直接 接触 的 方式 对 被 评测 者 进行 相应 的 社会 工程 攻击 测试 评估 。 当 我 们 决定 进行 
社会 工程 方式 的 安全 评估 工作 时 ， 最 好 让 可 信 的 第 三 方 来 进行 ， 这 样 才 可 以 达到 最 好 的 评估 
效果 。 


4. 评估 对 象 


评估 对 象 就 是 指 评估 过 程 中 具体 的 评估 实施 目标 , 包括 Web 服务 器 主机 操作 系统 、Web 
应 用 程序 框架 、 数 据 库 系统 及 网 络 基础 设施 等 。 

这 四 个 因素 是 Web 站 点 安全 评估 工作 中 缺 一 不 可 的 ， 缺 少 任何 一 个 或 任何 一 个 出 现 问 
题 ， 都 会 使 整个 评估 工作 中 断 或 使 评估 结果 不 可 信 。 还 有 就 是 评估 工具 的 使 用 并 不 一 定 得 一 
次 只 使 用 一 种 工具 ， 我 们 可 以 根据 所 要 评估 的 对 象 和 评估 的 内 容 进 行 组 合 上 应用。 毕竟， 有 时 
一 种 工具 只 在 某 一 个 方面 比较 有 效 ， 而 且 ， 评 估 软 件 还 存在 误 报 和 漏 报 的 问题 ， 组 合 使 用 工 
有 具 ， 再 加 上 评估 人 员 根 据 自己 经 验 的 判断 ， 就 能 将 评估 结果 的 有 效 性 提高 到 最 高 水 平 。 

当 Web 站 点 安全 评估 工作 完成 后 ， 我 们 还 应 当 根据 安全 评估 结果 ， 对 安全 策略 进行 相 
应 的 修订 ， 同 时 对 实施 的 安全 机 制 进行 相应 的 补充 。Web 站 点 的 安全 评估 工作 ， 在 站 点 没有 
真正 投入 运行 前 ， 可 不 断 地 重复 进行 检测 ， 直 到 我 们 认为 已 经 修补 了 所 有 已 知 的 漏洞 为 止 。 
同时 ， 我 们 还 必须 在 Web 站 点 运营 过 程 当中 进行 安全 评估 ， 以 此 来 发 现 潜 在 的 安全 威胁 。 

不 能 忽略 的 一 点 是 ， 如 今 攻击 者 善于 主动 分 析 并 发 现 新 的 漏洞 ， 这 样 就 对 现 有 的 漏洞 扫 
描 系 统 造成 了 一 定 的 瓶颈 ， 并 不 能 完全 解决 网 站 被 挂 马 攻击 这 种 威胁 。 因 此 ， 我 们 在 使 用 它 
的 同时 ， 还 必须 使 用 其 他 的 方式 来 补充 它 的 不 足 。 

作为 Web 站 点 的 管理 者 需要 通过 不 断 对 Web 站 点 进行 安全 评估 ， 以 便 能 先 攻 击 者 一 步 
来 发 现 网 站 中 可 能 存在 的 脆弱 性 ， 以 便 才能 在 攻击 没有 发 动 前 就 修补 好 这 些 漏洞 ， 这 样 才 有 
可 能 最 大 限度 地 减少 网 站 被 挂 马 的 风险 。 为 了 更 好 地 了 解 安 全 趋势 ， 我 们 还 可 以 到 
www.cert.org 及 www.securityfocus.comh 订阅 最 新 的 安全 漏洞 的 邮件 列表 , 以 及 时 了 解 每 天 的 
安全 漏洞 信息 。 

通过 经 常 性 地 安全 评估 、 渗 透 测试 操作 ， 才 能 及 时 掌握 Web 应 用 面临 的 威胁 ， 才 能 
时 进行 处 理 。 例 如 ，13.7.1 节 中 介绍 的 Web 应 用 程序 漏洞 会 直接 导致 网 站 管理 员 账 号 泄漏 ， 
进而 可 能 使 得 攻击 者 利用 管理 员 权 限 上 传 木马 、Rootkit 程序 等 到 网 站 服务 器 ， 从 而 实现 对 网 
站 服务 器 的 远程 隐蔽 控制 。 通 过 渗透 测试 了 解 这 个 程序 漏洞 后 ， 有 两 种 补救 措施 。 其 一 ， 及 
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时 修改 网 站 程序 ， 查 找 漏洞 所 在 ， 例 如 ， 严 密 检查 用 户 向 Web 服务 器 发 出 的 URL 请 求 ， 过 
滤 SQL 注入 常用 的 字符 ， 检 查 URL 长 度 是 否 可 疑 ， 然 后 修补 程序 漏洞 。 这 种 方式 在 对 网 站 
程序 进行 安全 性 检查 、 测 试 后 , 程序 漏洞 补 好 了 ， 就 不 用 担心 被 同样 的 攻击 方式 入 侵 。 然 而 ， 
这 种 方式 的 缺点 在 于 修改 程序 周期 通常 会 比较 长 ， 而 且 ， 修 好 这 个 漏洞 ， 很 难保 证 程序 其 他 
部 分 没有 别 的 漏洞 , 特别 是 大 型 的 网 站 ， 其 Web 应 用 程序 通常 由 众多 程序 员 共 同 开发 ， 出 现 
漏洞 在 所 难免 。 因 此 ， 第 二 种 补救 措施 更 值得 推荐 ， 这 就 是 利用 软件 程序 或 硬件 设备 ， 对 所 
有 发 往 Web 服务 器 的 URL 请 求 进行 过 滤 ， 检 查 该 URL 的 内 容 构成 、 特 征 ， 从 而 判断 是 正常 
的 Web 请 求 操 作 ， 还 是 SQL 注入 等 攻击 操作 。 因 为 常见 的 Web 应 用 攻击 都 有 一 定 的 模式 和 
特征 ， 因 而 这 种 方式 能 对 被 保护 网 站 的 所 有 后 台 Web 应 用 程序 起 到 比较 好 的 保护 作用 ， 从 而 
在 提高 安全 性 的 同时 ， 减 少 对 Web 应 用 程序 检查 的 工作 量 。 

安全 评估 与 渗透 测试 是 保障 网 站 安全 的 重要 手段 ， 与 此 同时 传统 的 防火 墙 、 入 侵 防 御 、 
安全 审计 系统 对 网 站 安全 防范 也 是 必 不 可 少 的 设备 。 

防火 墙 能 控制 对 Web 站 点 的 访问 权限 ， 避 免 非 授权 访问 带 来 的 安全 威胁 。 入 侵 防 御 系 
统 则 能 在 网 站 遭受 攻击 时 及 时 阻止 攻击 ， 减 少 损失 。 上 述 针对 Web 站 点 URL 请 求 进行 过 滤 
的 设备 , 就 是 一 类 针对 特定 Web 应 用 的 入 侵 防御 系统 。 安 全 审计 系统 会 详细 记录 一 段 时 间 内 
网 络 中 的 敏感 操作 ， 可 以 在 发 生 特定 安全 事件 后 ， 起 到 事后 分 析 的 作用 。 


本 章 小 结 


章 首 先 分 析 了 完整 入 侵 过 程 的 基本 步 又， 阐述 了 网 络 应 用 安全 中 的 两 个 基本 威胁 一 一 
口令 安全 和 网 络 数据 监听 安全 。 之 后 对 入 侵 信息 搜集 过 程 进行 了 原理 剖析 ， 在 此 基础 上 介绍 
了 主机 存活 扫描 、 主 机 端口 扫描 的 目的 和 意义 。 通 过 人 P 欺骗 原理 的 分 析 ， 明 确 了 人 P 欺骗 攻 
击 的 难点 和 防范 要 点 。 通 过 几 个 简单 的 实例 ， 本 章 重点 分 析 了 当前 Internet 面临 的 主要 威胁 ， 
即 网 络 钓鱼 攻击 和 Web 应 用 安全 问题 。 现 实 中 相当 多 的 用 户主 机 被 入 侵 都 是 由 这 两 类 威胁 造 
成 的 ， 值 得 引起 高 度 注意 。 


课 后 练习 


一 、 填 空 是 


1. 查询 到 目标 卫 地 址 所 经 过 的 各 跳 路 由 器 的 命令 是 ( )。 

2. 破解 口令 时 ， 尝 试 所 有 可 能 字符 组 合 的 破解 方式 称 为 ( )。 

3. 传统 以 太 网 中 ,总 线 上 的 主机 能 收 到 所 有 其 他 主机 间 的 通信 数据 ,但 通常 只 保留 发 给 
自己 的 数据 。 若 将 网 卡 设置 于 ( ) 模 式 ， 则 会 保留 收 到 的 所 有 数据 。 

4. 开放 扫描 是 指 扫描 过 程 会 尝试 建立 一 个 完整 的 ( )。 

5. 利用 信任 关系 实现 的 中 欺骗 ， 主 要 存在 于 ( ) 操 作 系 统 中 。 
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二 、 选 择 题 
1. 查询 某 域名 的 拥有 者 、 联 系 方式 等 信息 的 命令 是 (  )。 

A. Nslookup B. Whois C.ping 域名 D. netstat 
2. 查询 某 域名 内 包含 的 MX 记录 的 命令 是 ( 。 )。 

A. Nslookup B. Whois C.ping 域名 D. netstat 
3. 利用 网 络 数据 嗅 探 ， 可 用 轻松 获得 网 络 中 传输 的 ( 。“”) 口 令 。 

A. 所 有 B. 电子 邮件 C. 明文 D. 密 文 
4. 完成 存活 主机 扫描 ， 最 简单 的 命令 是 (。”)。 

A. netstat B. whois C.nslookup D. ping 
5. 伪装 成 其 他 网 站 ， 使 人 上 当 受 骗 的 攻击 称 为 ( )。 

A. 卫 欺 骗 攻击 B. 网 络 钓鱼 攻击 

C. 跨 站 脚本 攻击 D. 拒绝 服务 攻击 
三 、 简 答题 


1. 简 述 口令 破解 的 几 种 方法 及 效果 。 

2. 网 络 数据 嗅 探 的 基本 原理 、 主 要 危害 是 什么 ? 
3. 如 何 有 效 防范 主机 扫描 、 端 口 扫 描 ? 

4. 防范 网 络 钓鱼 攻击 的 主要 方法 是 什么 ? 

5. 防范 Web 站 点 SQL 注入 ， 主 要 方式 有 那 两 种 ? 
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备份 是 为 了 在 系统 过 到 人 为 或 自然 灾难 时 ， 能 够 通过 备份 的 数据 对 系统 进行 有 效 的 灾难 
恢复 。 没 有 绝对 安全 的 防护 系统 ， 当 系统 遭受 攻击 或 入 侵 时 ， 数 据 被 破坏 的 可 能 性 非常 大 ， 
对 金融 、 证 券 以 及 其 他 类 型 企业 来 说 ， 数 据 的 损失 即 意味 着 经 济 损失 ， 这 种 损失 很 多 时 候 是 
企业 不 能 承受 的 。 企 业 对 信息 化 系统 的 依赖 ， 事 实 上 是 对 系统 里 流动 的 数据 的 依赖 ， 因 此 数 
据 备份 越发 显得 重要 ， 这 正 是 近年 来 存储 、 数 据 备份 行业 兴起 的 原因 。 


本 章 重 点 

e 数据 备份 分 类 

e。 DAS、NAS、SAN 的 基本 原理 、 应 用 场合 
e 远程 数据 备份 的 分 类 及 特征 

e 利用 Ghost 进行 数据 备份 操作 


14.1 数据 备份 概述 


14.1.1 数据 完整 性 概念 


数据 完整 性 是 信息 安全 的 基本 要 素 之 一 。 数 据 完整 性 是 指 在 存储 、 传 输 信息 或 数据 的 过 
程 中 ， 确 保 信 息 或 数据 不 被 未 授权 的 算 改 ， 或 在 自 改 后 能 够 被 迅速 发 现 。 

数据 完整 性 的 保护 ， 通 常 使 用 数字 签名 或 散 列 (Hash， 又 称 哈 希 ) 函 数 对 密 文 进行 运算 后 ， 
得 到 一 个 “数字 指纹 ”， 并 对 数字 指纹 进行 加 密 运 算 ， 在 数据 到 达 目 的 地 后 , 对 数据 再 次 “ 取 
指纹 ”运算 ， 核 对 解密 后 的 指纹 ， 如 果 指 纹 一致 ， 表 明 数 据 没有 任何 变动 ， 如 果 不 一 致 ， 则 
表明 数据 在 传输 过 程 中 发 生 了 变化 。 

在 信息 安全 领域 ， 数 据 完整 性 的 概念 常常 和 保密 性 相互 混淆 。 以 普通 RSA 数据 加 密 算 
法 为 例 ， 攻 击 者 或 恶意 用 户 在 没有 获得 密 钥 破解 密 文 的 情况 下 ， 可 以 通过 对 密 文 进行 线性 运 
算 ， 相 应 改变 信息 包含 数据 的 值 。 例 如 交易 金额 为 元， 通过 对 密 文 乘 2， 就 可 以 使 交易 金 
额 成 为 2X。 

与 保护 数据 保密 性 使 用 各 种 加 密 算法 不 同 ， 保 护 数据 完整 性 的 算法 并 非 加密 算 法 ， 而 是 
一 种 “ 校 验 ” 算 法 。 这 意味 着 数字 签名 、 哈 希 函 数 对 数据 的 运算 并 非 是 双向 可 道 的 过 程 。 使 
用 加 密 算 法 对 明文 数据 进行 加 密 运 算 后 ， 只 要 掌握 了 相关 密 钥 ， 数 据 即 可 用 对 应 的 解密 算法 
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进行 解密 ， 从 而 还 原 成 明文 。 而 数字 签名 算法 、 各 种 哈 希 函 数 算法 ， 对 明文 数据 进行 运算 后 ， 
通常 得 到 同样 长 度 的 一 段 数据 ， 可 以 理解 为 原始 明文 数据 的 “指纹 ”， 不 同 的 明文 数据 对 应 
不 同 的 指纹 ， 但 是 无 法 利用 指纹 还 原 成 原始 的 明文 数据 。 并且， 当 算 法 一 定时 ， 指 纹 的 长 度 
确定 ， 与 原始 明文 数据 的 长 度 无 关 。 也 就 是 说 ，1 个 字 节 的 数据 ， 与 1TB 的 数据 ， 在 确定 的 
算法 下 ， 其 指纹 长 度 是 一 致 的 。 

数据 完整 性 与 数据 保密 性 不 仅 概 念 容易 被 混淆 ， 而 且 数 据 完整 性 的 重要 地 位 也 容易 被 忽 
视 。 典 型 的 错误 观点 是 ， 数 据 保密 性 重要 ， 数 据 完整 性 不 那么 重要 。 事 实 上 ， 在 很 多 场合 ， 
没有 数据 完整 性 的 保障 ， 安 全 就 无 从 谈 起 。 例 如 ， 要 从 某 操作 系统 或 应 用 程序 的 官方 网 站 下 
载 补丁 文件 ， 必 须 保证 下 载 到 的 补丁 文件 是 “官方 ”版 本 的 ， 即 该 补丁 未 经 过 任何 未 授权 的 
改动 ， 这 样 的 补丁 才能 放心 使 用 。 因 为 攻击 者 完全 可 以 使 用 中 间 人 攻击 (原理 见 1.3.2 节 ) 的 方 
式 ， 修 改 并 替换 用 户 下 载 到 的 补丁 文件 ， 此 时 用 户 下 载 到 的 文件 是 被 捆绑 了 木马 或 Rootkit 
的 补丁 ， 用 户 在 运行 补丁 文件 的 同时 ， 捆 绑 的 恶意 软件 同时 就 被 执行 并 入 侵 了 用 户 计 算 机 。 
因此 ， 在 专业 的 软件 下 载 站 点 中 ， 在 提供 可 下 载 的 文件 的 同时 ， 还 要 提供 该 文件 的 “指纹 ”， 
通常 使 用 的 哈 希 算法 有 MD5(Message Digest 5， 报 文摘 要 算法 5)、SHA-l(Secure Hash 
Algorithm 1， 安 全 哈 希 算法 D) 等 ， 如 图 14-1 所 示 。 


文件 信息 

此 修补 程序 的 英文 版 具有 的 文件 属性 【或 更 新 的 文件 属性 ) 在 下 表 中 列 出 。 日 期 和 时 间 对 这 些 文件 列 
出 在 协调 世界 时 (UTC)。 当 您 查看 文件 信息 时 ， 将 转换 为 本 地 时 间 。 若 要 UTC 与 本 地 时 间 之 闻 的 时 差 
使 用 控制 面板 中 的 日 期 和 时 间 项 中 的 时 区 选项 卡 


动态 Microsoft CRM 服务 器 


文件 的 名 称 | 文件 版 本 。 文件 大 日 期 时 


sdtransform,dll | 3.0.5300.1639 128,360 | 2007 02: MD5 : 34EB8B18B272BF591B5B09F1804A6 
年 七 01 SHAl: 


河 9AB263A7B909BF59E3DBB533071790CECE6 
所 


图 14-1 软件 下 载 站 点 提供 文件 的 校 验 值 


用 户 从 网 上 下 载 文件 后 ， 再 对 该 文件 进行 哈 希 运算 ， 把 得 到 的 MD5 或 SHA-1 校 验 值 与 
官方 网 站 提供 的 进行 比较 ， 即 可 确认 该 文件 是 否 是 未 经 任何 修改 的 原始 文件 。 

此 外 ,数据 完整 性 的 应 用 ， 还 充分 体现 在 用 户 数 据 备 份 、 恢 复 应 用 中 。 在 大 多 数 情况 下 ， 
备份 的 数据 需要 恢复 成 和 原始 数据 完全 相同 的 状态 。 而 确认 数据 恢复 后 是 否 和 备份 时 的 每 一 
个 字 节 、 每 一 个 二 进 制 位 都 相同 的 工作 ， 正 是 由 数据 完整 性 的 相关 机 制 和 算法 来 保障 的 。 
此 ， 数 据 完整 性 提供 了 有 效 检查 、 甄 别 数据 备份 过 程 中 出 现 的 各 种 人 为 及 非 人 为 数据 差错 的 
手段 。 


14.1.2 ”保护 数据 完整 性 的 方法 


目前 ， 数 据 文件 的 完整 性 可 以 通过 哈 希 值 计算 、 数 字 签 名 跟踪 和 文件 修改 跟踪 这 儿 种 方 
式 来 保障 。 通 过 哈 希 值 计 算 实 现 文件 完整 性 的 例子 如 图 14-2 所 示 。 
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ES |D|x| 
F:\>type 七 .txt 
A 


F:\>mds t.txt 
?FCS6270E7?A?OFA81A5935B72EACBE29 


F:\>, 


图 14-2 MD5 运算 


由 图 14-2 可 见 ， 文 件 “t.txt” 内 容 仅 为 一 个 英文 字符 “A”， 利 用 MD5 运算 工具 对 其 进 
行 哈 希 运算 , 其 结果 为 一 个 16 字 节 (128 比特 ) 的 数字 。 我 们 用 类 似 的 方法 对 该 文件 进行 SHA-1 
哈 希 运算 ， 结 果 如 图 14-3 所 示 ， 可 知 SHA-1 运算 结果 为 20 字 节 (160 比特 )。 


F:\>fsum -shal t.txt 

SlavaSoft Optimizing Checksum Utility - fsum 2.51 
Implemented using SlavaSoft QuickHash Library www.slavasoft.com> | 
Copyright (C) SlavaSoft Inc. 1999-2004. All rights reserued . 


; SlavaSoft Optimizing Checksum Utility - fsum 2.51 <Wwww.slavasof 


. Generated on 07/905/10 at 22:13:50 


BdcdHce23d88e2ee9568ba546c007c63d9131c1b ?SHhR1xt .txt 


F:N\>。 
图 14-3 SHA-1 运算 


使 用 数字 签名 对 数据 完整 性 进行 保护 的 机 制 不 同 ， 数 字 签 名 采用 的 是 非 对 称 密 钥 体 制 ， 
通常 用 数据 发 送 方 的 私 钥 进 行 签名 ， 接 收 方 收 到 数据 后 ， 用 发 送 方 的 公 钥 核 对 签名 ， 若 用 发 
送 方 的 公 钥 可 以 对 数据 进行 解密 ， 则 意味 着 签名 有 效 。 数 字 签 名 实现 数据 完整 性 保护 的 详细 
原理 参见 10.2 节 。 

MD5、SHA-1 都 是 基于 较 复 杂 的 算法 ， 需 要 使 用 比较 密集 的 资源 才能 保证 一 台 计 算 机 上 

所 有 文件 的 完整 性 ， 而 执行 和 文件 修改 跟踪 方法 则 显得 有 些 不 可 靠 ， 因 为 现在 的 许多 恶意 软 
件 都 能 够 通过 修改 时 间 来 隐藏 对 文件 的 修改 痕迹 。 
由 此 可 见 ，“ 标 准 的 ”完整 性 控制 方法 要 么 会 消耗 太 多 的 系统 资源 ， 要 么 会 漏 掉 受 感染 
的 文件 ， 这 很 容易 导致 恶意 软件 的 扩散 传播 。 而 国际 上 最 新 的 数据 完整 性 保护 技术 能 够 避免 
目前 标准 中 所 存在 的 上 述 缺 点 。 新 技术 能 够 可 靠 、 迅 速 地 查看 文件 的 完整 性 ， 并 且 不 会 造成 
过 多 的 资源 消耗 。 

这 种 新 的 数据 完整 性 保护 技术 建立 在 对 应 用 程序 请 求 进行 中 途 拦截 的 基础 上 ， 这 些 请 求 
会 对 一 个 或 多 个 文件 的 时 间 惟 进行 修改 。 这 类 请 求 可 以 被 每 一 个 文件 追踪 到 并 被 存储 在 数据 
库 中 。 该 信息 被 收集 后 便 会 被 提供 给 一 个 特殊 的 模块 (通常 是 安全 程序 中 的 一 个 模块 )， 这 个 
模块 会 比较 时 间 戳 更 新 及 相应 时 间 戳 之 间 发 生 的 变化 。 从 这 样 的 变化 可 以 看 出 文件 是 否 被 修 
改 以 及 可 能 的 感染 。 安 全 程序 就 可 以 扫描 文件 的 恶意 代码 或 显示 警报 。 

凭借 新 一 代 的 数据 完整 性 保护 技术 ， 新 型 的 安全 产品 能 够 快速 、 可 靠 地 追查 出 文件 是 否 
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被 修改 , 而 该 技术 还 可 以 对 反 病 毒 扫描 进行 控制 , 以 防止 恶意 代码 的 执行 。 美 国 Network or 
安全 专栏 作家 曾 撰文 指出 ， 这 种 技术 最 大 的 优势 是 迅速 ， 仅 消耗 最 少 的 系统 资源 就 可 以 完成 
文件 扫描 。 这 项 技术 使 安全 网 关 、 反 病毒 软件 等 产品 的 运行 更 加 透明 ， 从 而 提供 更 高 水 平 的 
安全 保护 。 


14.1.3 数据 备份 系统 的 组 成 


在 信息 技术 与 数据 管理 领域 ， 备 份 指 将 文件 系统 或 数据 库 系 统 中 的 数据 加 以 复制 ， 一 旦 
发 生 灾难 或 错误 操作 时 ， 得 以 方便 而 及 时 地 恢复 系统 的 有 效 数 据 和 正常 运作 。 

数据 备份 系统 由 备份 硬件 和 备份 软件 两 个 部 分 组 成 。 和 普通 计算 机 系统 的 硬件 和 软件 的 
关系 类 似 ， 两 者 是 密 不 可 分 的 ， 备 份 硬件 是 备份 软件 运行 的 平台 ， 备 份 软件 是 流动 于 备份 硬 
件 中 的 程序 和 数据 。 


1. 备份 硬件 


备份 硬件 指 的 是 存储 备份 信息 的 设备 , 它 包括 硬盘 介质 存储 、 光 盘 介 质 存储 和 磁带 存储 。 
常见 的 磁盘 方式 有 磁盘 阵列 和 磁盘 见 余 。 磁 盘 阵 列 是 RAID(Redundant Array of Independent 
Disks， 独 立 磁 盘 元 余 阵 列 ) 的 中 文 名 称 ， 也 就 是 将 多 个 物理 磁盘 组 成 一 个 罗 辑 磁盘 。RAID 用 
于 提高 数据 性 能 、 可 靠 性 和 可 用 性 ， 并 且 RAID 执行 的 功能 对 于 操作 系统 是 透明 的 ， 不 同等 级 
的 RAID 提供 不 同 的 速度 和 不 同 程度 的 数据 保护 。 目 前 RAID 级 别 常用 的 有 RAID 0、RAID 1、 
RAID 5、RAID 10 等 。 虽然 RAID 也 可 用 软件 实现 , 但 实际 生产 环境 中 , 为 了 提高 运行 效率 ， 
通常 使 用 硬件 RAID 卡 (又 称 陈列 卡 ) 来 实现 。 

RAID 0 使 用 一 种 名 为 “条 带 ”(Striping) 的 技术 把 数据 分 布 到 各 个 磁盘 上 ， 每 个 条 带 被 分 
散 到 磁盘 的 连续 数据 块 上 。 条 带 允 许 从 多 个 磁盘 上 同时 存 取 信息 , 可 以 平衡 磁盘 间 的 IO 负载 ， 
从 而 达到 最 快 的 存 取 速 度 。 RAID 0 是 唯一 没有 数据 见 余 的 RAID 级 别 , 这 个 特性 使 RAID 0 除 
了 速度 外 还 有 低 成 本 (不 会 因为 元 余 空间 造成 成 本 上 升 ) 的 优点 ， 但 这 也 意味 着 如 果 阵 列 中 某 
个 磁盘 失败 ， 该 阵列 上 的 所 有 数据 都 将 丢失 。 

RAID 1 是 将 两 个 硬盘 划分 为 两 部 分 ， 一 个 存 数据 ， 另 一 个 做 备份 。 使 用 这 种 方法 ， 数 
据 安 全 性 最 好 ， 但 是 磁盘 的 可 用 空间 只 有 物理 盘 空 间 的 一 半 ， 利 用 率 比 较 低 。RAID 1 也 被 称 
为 镜像 RAID， 因 为 一 个 磁盘 上 的 数据 被 完全 复制 到 另 一 个 磁盘 上 。 如 果 一 个 磁盘 失效 ， 另 
一 个 还 可 用 。 

RAID 5 也 被 叫做 带 分 布 式 奇偶 位 的 条 带 ， 每 个 条 带 片上 都 有 相当 于 一 个 “ 块 ” 那 么 大 
的 地 方 被 用 来 存放 奇偶 位 -RAID 5 像 分 布 条 带 片 上 的 数据 那样 把 奇偶 位 信息 也 分 布 在 所 有 的 
磁盘 上 。 尽 管 有 一 些 容量 上 的 损失 ， 但 RAID 5 能 提供 最 佳 的 整体 性 能 ， 因 而 也 是 最 广泛 的 
一 种 数据 保护 方案 。 它 适合 于 IO 密集 、 高 读 / 写 率 的 应 用 程序 ， 如 事务 处 理 等 。 为 了 具有 
RAID 5 级 的 元 余 度 ， 需 要 最 少 由 三 个 磁盘 组 成 的 磁盘 阵列 (不 包括 热 备 盘 )。 在 RAID 5 磁盘 
组 中 ， 任 意 一 块 盘 出 现 故 障 ， 都 不 会 造成 数据 丢失 。 同 时 出 现 两 块 或 两 块 以 上 的 磁盘 故障 才 
会 损坏 数据 。RAID 5 是 一 种 综合 性 能 、 数 据 可 靠 性 、 性 价 比 的 磁盘 元 余 方 式 ， 因 而 是 实际 应 
用 中 使 用 最 多 的 一 种 。 

RAID 10 也 被 称 为 镜像 阵列 条 带 。 像 RAID 0 一 样 ， 数 据 跨 磁盘 抽取 ， 像 RAID 1 一 样 ， 
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每 个 做 盘 都 有 一 个 镜像 磁盘 。RAID 10 提供 100% 的 数据 元 余 ， 支 持 更 大 的 卷 尺 寸 ， 但 价格 
也 相对 较 高 。 对 大 多 数 只 要 求 具 有 元 余 度 而 不 必 考 虑 价格 的 应 用 来 说 ，RAID 10 提供 了 最 好 
的 性 能 。 而 且 使 用 RAID 10， 可 以 获得 更 好 的 可 靠 性 ， 因 为 即使 两 个 物理 驱动 器 发 生 故 障 (每 
个 阵列 中 一 个 )， 数 据 仍然 可 以 得 到 保护 。RAID 10 需要 至 少 4 个 磁盘 驱动 器 ， 而 且 只 能 通过 
便 件 阵列 卡 实现 。 


2. 备份 软件 


数据 备份 软件 技术 就 是 以 软件 的 方式 来 实现 , 将 跨 平台 存储 的 分 散 数据 提取 出 来 (包括 静 
态 和 动态 的 数据 )， 通 过 网 络 IP Network 或 FC SAN) 集 中 备份 到 一 个 或 数 个 大 容量 存储 设备 
中 (如 磁盘 阵列 、 磁 带 库 或 光盘 库 等 )。 一 旦 源 数据 受 损 ， 就 可 以 从 原先 备份 的 介质 中 恢复 。 
数据 备份 软件 的 技术 要 点 包括 数据 的 提取 和 重 导 入 、 数 据 网 络 传输 、 数 据 转 存 、 集 中 控制 与 
自动 化 处 理 等 。 

备份 软件 脱胎 于 数据 存储 软件 ， 最 初 只 是 简单 地 将 源 数据 从 一 个 介质 转 存 到 另 一 个 介质 
中 。 但 随 着 信息 技术 的 不 断 发 展 以 及 在 各 行 各 业 的 深入 应 用 ， 许 多 问题 也 应 运 而 生 。 数 据 从 
原先 的 单机 存储 演变 为 目前 的 网 络 多 机 、 多 平台 分 散 存 储 ， 这 就 需要 建立 集中 化 的 网 络 备份 
架构 ; 备份 的 数据 从 以 前 的 以 MB 计 到 以 GB 计 直 至 现在 拥有 上 TB 数据 的 环境 也 不 罕见 ， 
这 就 对 数据 的 传输 和 存储 提出 了 高 要 求 ， 大 多 数 需要 备份 的 信息 以 动态 应 用 数据 的 形式 组 织 
存储 , 而 非 简单 的 静态 数据 , 这 些 数据 之 间 还 存在 关联 , 于 是 数据 的 提取 工作 就 变 得 相当 复杂 。 

数据 备份 技术 就 是 针对 这 些 现实 应 用 环境 的 需求 ， 实 现 分 散 数据 的 网 络 集中 备份 ， 各 类 
应 用 产生 的 动态 数据 的 在 线 提取 ， 多 种 网 络 环境 下 的 数据 传输 ， 以 及 跨 平台 主机 、 各 类 存储 
设备 和 备份 数据 自动 化 管理 等 。 

数据 备份 软件 是 进行 系统 信息 备份 的 主要 部 分 ,一 款 好 的 备份 软件 决定 了 数据 备份 的 效 
率 、 安 全 性 等 很 多 方面 。 目 前 的 备份 软件 分 为 专业 和 非 专业 两 大 类 。 非 专业 的 备份 软件 主要 
分 布 在 操作 系统 厂商 提供 的 软件 包 中 ， 如 Netware 操作 系统 的 Backup 功能 、Windows 操作 
系统 的 NTBackup 等 。 专 业 的 备份 软件 主要 集中 在 数据 库 类 的 大 型 软件 中 。 另 外 ， 一 些 软件 
厂商 提供 了 全 面 的 专业 备份 软件 ， 如 Symantec 公司 的 NetBackup、HP 公司 的 OpenView 
OmniBack IT 和 CA 公司 的 ARCServeIT 等 。 

专业 的 备份 软件 能 实现 异 构 环境 的 数据 保护 ， 可 在 异 构 操 作 系 统 、 应 用 程序 、 管 理 程序 
以 及 磁盘 和 磁带 架构 上 实现 数据 保护 ， 并 通过 内 置 的 复制 功能 和 异地 磁带 管理 功能 实现 全 自 
动 的 集成 式 系统 恢复 。 

14.1.4 数据 备份 分 类 

数据 备份 技术 不 仅 是 数据 的 保护 ， 其 最 终 目 的 是 为 了 在 系统 遇 到 人 为 或 自然 灾难 时 ， 能 
够 通过 备份 内 容 对 系统 进行 有 效 的 灾难 恢复 。 备 份 不 是 单纯 的 复制 ， 管 理 也 是 备份 的 重要 组 
成 部 分 。 管 理 包 括 备 份 的 可 计划 性 、 磁 带 机 的 自动 化 操作 、 历 史记 录 的 保存 以 及 日 志 记录 等 。 

数据 备份 技术 有 多 种 实现 形式 ， 从 不 同 的 角度 可 以 对 备份 进行 不 同 的 分 类 。 
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1. 按 备份 模式 ， 可 分 为 物理 备份 和 逻辑 备份 


逻辑 备份 指 每 个 文件 都 是 由 不 同 的 逻辑 块 组 成 的 ， 每 一 个 逻辑 的 文件 块 存储 在 连续 的 物 
理 磁 盘 块 上 。 但 是 , 组 成 一 个 文件 的 不 同 逻 辑 块 极 有 可 能 存储 在 分 散 的 磁盘 块 上 。 比 如 UNIX 
系统 ， 它 使 用 了 索引 节点 (inode) 结 构 来 映射 逻辑 块 地 址 和 磁盘 上 对 应 的 物理 地 址 。 一 个 inode 
包含 了 指向 物理 磁盘 块 的 指针 。 对 于 比较 大 的 文件 ， 一 个 单一 的 inode 太 小 ， 无 法 映射 所 有 
的 逻辑 块 ， 需 要 多 个 块 的 间接 引用 包含 更 多 的 指针 。 备 份 软件 通常 既 可 以 进行 文件 操作 ， 又 
可 以 对 磁盘 块 进行 操作 。 基 于 文件 的 备份 能 识别 文件 结构 ， 并 复制 所 有 文件 和 目录 到 备份 媒 
介 上 。 这 样 的 系统 跨越 了 存储 在 每 个 inode 上 的 指针 ， 顺 序 地 读 取 每 个 文件 的 物理 块 。 然 后 
备份 软件 连续 将 文件 写 入 到 备份 媒介 上 。 这 样 的 备份 使 得 每 个 单独 文件 的 恢复 变 得 很 快 。 但 
是 ， 连 续 的 存储 文件 会 使 得 备份 速度 减 慢 ， 因 为 在 对 非 连 续 存储 在 磁盘 上 的 文件 进行 备份 时 
需要 额外 的 查找 操作 。 这 些 人 额外 的 查找 操作 增加 了 磁盘 的 开销 。 基 于 文件 的 逻辑 备份 的 男 一 
个 缺点 就 是 对 于 文件 的 一 个 很 小 的 改变 也 需要 备份 整个 文件 。 

物理 备份 与 逻辑 备份 相 比 ， 物 理 的 或 “基于 设备 的 备份 ”系统 在 复制 磁盘 块 到 备份 媒介 
上 时 忽略 文件 结构 。 这 样 会 提高 备份 的 性 能 ， 因 为 备份 软件 在 执行 过 程 中 ， 人 花费 在 搜索 操作 
上 的 开销 很 少 。 但 是 ， 这 种 方法 使 得 文件 的 恢复 变 得 复杂 而 且 缓慢 。 因 为 文件 并 不 是 连续 存 
储 在 备份 媒介 上 。 为 了 允许 文件 恢复 ， 基 于 设备 的 备份 必须 要 收集 文件 和 目录 是 如 何在 磁盘 
上 组 织 的 信息 ， 才 能 使 得 备份 媒介 上 的 物理 块 与 特定 的 文件 相关 联 。 因 此 ， 物 理 备份 适合 于 
指定 一 个 特定 的 文件 系统 来 实现 ， 且 不 易 移 植 。 基 于 文件 的 备份 方案 则 更 易 移 植 ， 因 为 备份 
文件 包含 的 是 连续 文件 。 物 理 备份 的 另 一 个 缺点 是 可 能 引入 数据 的 不 一 致 性 。 操 作 系统 的 核 
心 一 般 会 在 写 磁盘 前 对 要 写 的 数据 进行 缓存 ， 而 物理 备份 的 特点 是 可 跨越 磁盘 块 ， 这 样 容易 
忽略 文件 缓存 区 中 的 数据 ， 备 份 文件 的 较 早 版 本 。 相 对 地 ， 基 于 文件 的 备份 方案 考虑 了 文件 
的 缓存 区 ， 备 份 了 文件 的 当前 版 本 。 


2. 按 备份 策略 ， 可 分 为 完全 备份 、 增 量 备份 、 差 分 备份 


完全 备份 Cull Backup) 是 指 对 整个 系统 (如 组 成 服务 器 的 所 有 卷 ) 或 用 户 指定 的 所 有 文件 
进行 一 次 完整 的 备份 ， 这 是 最 基本 也 是 最 简单 的 备份 方式 。 这 种 备份 方式 的 好 处 是 很 直观 ， 
容易 被 人 理解 。 如 果 在 备份 间隔 期 间 出 现 数据 丢失 等 问题 ， 可 以 只 使 用 一 份 备份 文件 快速 地 
恢复 所 丢失 的 数据 。 完 全 备份 的 不 足 之 处 也 很 明显 : 它 需要 备份 所 有 的 数据 ， 并 且 每 次 备份 
的 工作 量 也 很 大 ， 需 要 大 容量 的 备份 媒介 ， 如 果 完 全 备份 比较 频繁 ， 在 备份 文件 中 就 有 大 量 
的 数据 是 重复 的 。 这 些 重复 的 数据 占用 了 大 量 的 存储 空间 , 这 对 用 户 来 说 就 意味 着 增加 成 本 。 
如 果 需 要 备份 的 数据 量 很 大 ， 备 份 数 据 时 进行 读 写 操作 所 需 的 时 间 也 会 较 长 。 因 此 这 种 备份 
不 能 进行 得 太 频 繁 ， 只 能 每 隔 较 长 一 段 时 间 才 进行 一 次 完整 的 备份 。 一 旦 发 生 数据 丢失 ， 只 
能 使 用 上 一 次 的 备份 数据 恢复 到 当时 的 数据 状况 ， 期 间 更 新 的 数据 就 有 可 能 丢失 。 

为 了 解决 完全 备份 的 主要 缺点 ， 增 量 备份 neremental Backup) 应 运 而 生 。 增 量 备份 只 备 
份 相对 与 上 一 次 备份 操作 以 来 新 创建 或 者 更 新 过 的 数据 。 通 常 特定 的 时 间 段 内 只 有 少量 的 文 
件 发 生 改变 ， 没 有 重复 的 备份 数据 ， 既 节省 了 存储 空间 ， 又 缩短 了 备份 时 间 。 因 而 这 种 备份 
方法 比较 经 济 ， 可 以 频繁 地 进行 。 典 型 的 增 量 备份 方案 是 在 偶尔 进行 完全 备份 后 ， 频 繁 地 进 
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行 增 量 备份 。 但 是 在 增 量 备份 系统 中 ， 一 旦 发 生 数据 技 失 或 文件 误 删除 操作 ， 恢 复工 作 会 比 
较 麻 烦 。 因 为 恢复 操作 需要 查询 一 系列 的 备份 文件 ， 从 最 后 一 次 完全 备份 开始 ， 将 记录 在 一 
次 或 多 次 的 增 量 备份 中 的 改变 应 用 到 文件 上 ， 增 量 备份 的 恢复 需要 多 份 的 备份 文件 才 可 以 完 
成 。 在 这 种 备份 下 ， 多 次 备份 数据 间 的 关系 就 像 链 条 一 样 ， 一 环 套 一 环 ， 其 中 任何 一 次 备份 
数据 出 现 问 题 都 会 导致 整个 链条 脱节 。 因 此 这 种 备份 的 可 靠 性 相对 较 差 。 

差分 备份 (Differential Backup) 即 备份 上 一 次 完全 备份 后 产生 和 更 新 的 所 有 新 的 数据 。 它 
的 主要 目的 是 将 完全 恢复 时 涉及 的 备份 记录 数量 限制 在 2 个 ， 以 简化 恢复 的 复杂 性 。 差 分 备 
份 在 避免 另外 两 种 备份 策略 缺陷 的 同时 ， 又 具有 了 它们 的 优点 。 首 先 ， 它 无 须 频繁 地 做 完全 
备份 ， 工 作 量 小 于 完全 备份 ， 因 此 备份 所 需 时 间 短 ， 并 节省 存储 空间 ， 其 次 ， 虽 然 每 次 做 差 
分 备份 工作 的 任务 比 增 量 备份 的 工作 量 要 大 ， 但 是 它 的 灾难 恢复 相对 简单 。 系 统管 理 员 只 需 
要 对 两 份 备份 文件 进行 恢复 ， 即 完全 备份 的 文件 和 灾难 发 生前 最 后 的 一 次 差分 备份 文件 ， 就 
可 以 将 系统 恢复 。 而 在 增 量 备份 中 ， 要 顺序 地 进行 从 上 次 完全 备份 以 来 的 每 一 次 增 量 备份 的 
恢复 。 

3. 按 备份 时 系统 的 工作 状态 ， 可 分 为 冷 备 份 、 热 备份 

冷 备 份 又 称 离线 备份 , 指 在 进行 备份 操作 时 ,系统 处 于 停机 或 维护 状态 。 采 用 这 种 方式 ， 
备份 的 数据 与 系统 中 此 时 段 的 数据 完全 一 致 冷 备份 的 缺点 是 备份 期 间 备份 数据 源 不 能 使 用 。 

热 备份 又 称 在 线 备份 或 同步 备份 , 指 进行 备份 操作 时 , 系统 处 于 正常 运转 状态 下 的 备份 。 
这 种 情况 下 ， 由 于 系统 中 的 数据 可 能 随时 在 更 新 ， 备 份 的 数据 相对 于 系统 的 真实 数据 可 有 一 
定 的 滞后 。 
14.1.5 ”数据 存储 介质 

除了 软磁盘 和 硬盘 外 ， 以 下 存储 介质 在 进行 大 量 数据 备份 时 会 经 常 使 用 到 如 下 几 种 存储 
介质 。 

1. 独立 磁盘 元 余 阵列 (RAID) 


RAID 在 基于 较 好 性 价 比 的 同时 ， 提 供 了 较 好 的 数据 保护 和 可 靠 性 。 尽 管 RAID 比 光 介 
质 存 储 设备 和 磁带 昂贵 ， 然 而 在 任何 需要 容错 性 和 快速 在 线 数据 访问 的 地 方 ， 它 能 提供 最 佳 
的 数据 保护 。RAID 能 防止 由 磁盘 硬件 故障 造成 的 数据 丢失 。 

2. 磁 光 盘 机 

磁 光 盘 机 QMO Drive) 通 常 有 3.5 英寸 和 5.25 英寸 两 种 , 单 片 MO 容量 从 230MB 到 2.6GB， 
其 至 更 高 。 相 对 普通 磁带 机 而 言 ，MO 采用 随机 存储 方式 ， 最 大 特点 是 读 写 速度 快 。 此 外 ， 
MO 的 数据 保存 时 间 长 ， 由 于 MO 只 有 在 极 高 温度 下 (如 激光 照射 ) 才 能 够 修改 数据 ， 并 且 有 
外 壳 保 护 ， 不 像 CD-ROM 容易 被 划 伤 ， 数 据 可 保存 20 年 以 上 。 

3. WORM 


WORM( 一 次 刻写 多 次 读 取 ) 介 质 是 永久 备份 和 归档 的 理想 工具 。 可 探 除 介质 能 够 取代 日 
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常备 份 用 的 磁带 ， 在 数据 短期 存储 的 情况 下 可 以 进行 探 除 或 修改 操作 。 目 前 有 多 种 类 型 的 
WORM 和 可 重 写 光 盘 可 供 使 用 。 通 常 使 用 的 5.25 英寸 介质 每 盘 提 供 2.6GB 的 存储 容量 ，12 
英寸 盘 可 存储 15GB 的 数据 。 


4. 只 读 光 盘 (CD-R) 或 可 控 除 光盘 (CD-RW)、DVD-R、DVD-RW 


一 种 可 用 的 低 端 光 介 质 ， 包 括 一 次 刻写 光盘 (CD-R) 和 可 探 除 光盘 (CD-RW) 及 只 读 
DVD-R、 可 探 写 DVD-RW。 


5. 光盘 库 


光 得 库 (MO Jukebox) 类 似 磁带 库 ， 只 是 采用 光盘 机 和 光盘 片 ， 是 最 佳 的 自动 存储 设备 ， 
6. 磁带 


根据 各 种 场合 的 需要 ， 磁 带 提 供 了 兼顾 容量 和 性 能 的 出 色 的 数据 备份 方式 。 低 端 Travan 
级 磁带 介质 单 盒 可 容纳 4GB 的 数据 量 ， 其 传送 速度 为 514KB/s。 高 端 数 字 线 性 磁带 (DLT) 每 
盒 能 处 理 35GB 的 数据 量 ， 它 每 秒 钟 提供 SMB 的 数据 吞吐 量 。 在 其 他 场合 应 用 的 是 像 DAT 
这 样 的 主流 磁带 技术 。 在 压缩 数据 模式 下 ， 所 有 的 存储 容量 和 数据 吞吐 速率 都 可 以 加 倍 。 磁 
带 的 备份 容量 远大 于 其 他 方式 。 磁 带 低廉 的 价格 使 它 成 为 奉 代 光 介 质 的 经 济 方式 。 磁 带 介 质 
同时 可 提供 每 日 、 每 周 和 每 月 的 安全 离线 数据 存储 。 磁 带 是 最 佳 的 中 长 期 数据 保存 C~15 年 ) 
方 臣 。 

磁带 可 通过 磁带 机 进行 读 写 。 磁 带 机 是 最 常见 的 大 容量 备份 设备 ， 目 前 存在 许多 制式 ， 
QIC、4mm、8mm、3480/3490、DLT、DST 等 ， 所 有 磁带 设备 都 采用 线性 数据 流 存储 方式 。 

7. 磁带 库 


磁带 库 (Tape Library) 是 一 种 自动 存储 设备 ， 人 磁带 库 设备 有 多 个 磁带 插 档 、 一 个 或 多 个 人 磁 
带 机 和 由 SCSI 指令 控制 的 机 械 臂 ， 存 储量 大 ,配合 数据 存储 管理 软件 实现 存储 管理 的 自动 化 。 


14.2 ”数据 存储 技术 


存储 设备 与 服务 器 的 连接 方式 通常 有 三 种 : 一 是 存储 设备 与 服务 器 直接 相连 接 ， 称 为 
DAS; 二 是 存储 设备 直接 联 入 现 有 的 TCP/IP 的 网 络 中 ， 称 为 NAS; 三 是 将 各 种 存储 设备 集 
中 起 来 形成 一 个 存储 网 络 ， 以 便于 对 数据 的 集中 管理 ， 这 样 的 网 络 称 为 SAN。 


14.2.1 DAS 
DAS(Direct-Attached Storage) 技 术 是 最 早 被 采用 的 存储 技术 ， 如 同 PC 机 的 结构 ， 是 把 外 


部 的 数据 存储 设备 都 直接 挂 在 服务 器 内 部 的 总 线 上 ， 数 据 存储 设备 是 服务 器 结构 的 一 部 分 ， 
但 由 于 这 种 存储 技术 是 把 设备 直接 挂 在 服务 器 上 ， 随 着 需求 的 不 断 增 大 ， 添 加 的 设备 越 来 越 
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多 ， 导 致 服务 器 和 存储 独立 数量 较 多 ， 资 源 利 用 率 低下 ， 使 得 数据 共享 受到 严重 的 限制 。 
此 使 用 在 一 些小 型 网 络 应 用 中 ，DAS 连接 模式 示意 图 见 图 14-4。 


5C5I 线 缆 /FC 通 道 


磁盘 阵列 


图 14-4 DAS 连接 模式 


14.2.2 NAS 


NASQNetwork-Attached Storage) 改 进 了 DAS 技术， 通过 标准 的 网 络 拓 扑 结 构 ， 用 户 只 需 
直接 与 企业 网 络 连接 即 可 使 用 NAS 存储 提供 的 服务 ， 不 依赖 其 他 服务 器 。NAS 是 在 一 个 小 
型 磁盘 阵列 柜 的 基础 上 ， 结 合 内 置 的 CPU、 内 存 、 主 板 ， 自 带 棋 入 式 操作 系统 ， 工 业 级 的 部 
件 配合 精简 化 的 操作 系统 使 其 具备 独力 工作 的 能 力 。NAS 通常 提供 易 用 的 操作 解密 ， 使 得 非 
计算 机 专业 的 操作 人 员 也 可 轻松 掌握 。 典 型 的 NAS 连接 模式 如 图 14-5 所 示 。 


Se ph 


从 


py TCP/IP 网 络 
re 
DA 


图 14-5 ”NAS 连接 模式 


14.2.3 SAN 


传统 SAN(Storage Area Network) 的 主要 支撑 技术 是 光纤 通道 (Fibre Channel，FC) 技 术 。 
与 NAS 完全 不 同 ， 它 不 是 把 所 有 的 存储 设备 集中 安装 在 一 个 服务 器 中 ， 而 是 将 这 些 设备 单 
独 通过 光纤 交换 机 连接 起 来 ， 形 成 一 个 光纤 通道 存储 在 网 络 中 ， 然 后 再 与 企业 的 局 域 网 进行 
连接 ， 这 种 技术 的 最 大 特性 就 是 将 网 络 、 设 备 的 通信 协议 与 存储 传输 介质 隔离 开 ， 因 此 存储 
数据 的 传输 不 会 受 网 络 状态 的 影响 。 

基于 光纤 交换 机 的 SAN 存储 ， 通 常会 综合 运用 链 路 元 余 与 设备 元 余 的 方式 ， 如 图 14-6 
所 示 ， 同 一 服务 器 访问 磁盘 阵列 有 多 条 元 余 路 径 ， 不 论 其 中 的 部 分 线路 或 者 部 分 光纤 交换 机 
出 现 故障 ， 都 不 会 导致 服务 器 访问 存储 失败 。 这 种 方式 部 署 成 本 较 高 ， 但 对 银行 、 证 券 、 数 
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据 中 心 等 存储 了 大 量 关 键 数据 ， 且 不 允许 业务 中 断 的 行业 来 说 非常 重要 。 

目前 处 于 迅速 成 长 期 的 全 SAN 存储 ， 是 在 传统 的 SAN(FC SAN) 的 基础 上 演变 而 来 的 。 
IP SAN 是 在 以 太 网 上 架构 一 个 SAN 存储 网 络 ， 把 服务 器 或 普通 工作 站 与 存储 设备 连接 起 来 
的 存储 技术 .中 SAN 在 FC SAN 的 基础 上 更 进一步 , 它 把 SCSI 协议 完全 封装 在 了 P 协议 之 中 。 
简单 来 说 , IP SAN 就 是 把 FC SAN 中 光纤 通道 解决 的 问题 通过 更 为 成 熟 的 以 太 网 实现 ， 从 由 
辑 上 讲 ， 它 是 提供 区 块 级 服务 的 彻底 的 SAN 架构 。 

IP SAN 的 主要 优点 是 : 能 节约 大 量 成 本 、 加 快 实施 速度 、 优 化 可 靠 性 以 及 增强 扩展 能 
力 等 。 采 用 iSCSI 技术 组 成 的 全 SAN 可 以 提供 和 传统 FC SAN 相 媲美 的 存储 解决 方案 ， 而 
且 普 通 服 务 器 或 PC 机 只 需要 具备 网 卡 ， 即 可 共享 和 使 用 大 容量 的 存储 空间 。 与 传统 的 分 散 
式 直 连 存储 方式 不 同 ， 它 采用 集中 的 存储 方式 ， 极 大 地 提高 了 存储 空间 的 利用 率 ， 方 便 了 用 
户 的 维护 管理 。 


以 太 网 交换 机 
Ty 


工作 站 


ee 光纤 交换 机 


磁盘 阵列 磁盘 阵列 


图 14-6 ”SAN 连接 模式 


14.3 ”远程 数据 备份 


远程 数据 复制 技术 是 远程 容 灾 系 统 的 核心 技术 ,在 保持 两 地 间 数 据 一 致 性 和 实现 灾难 恢 
复 中 起 到 关键 作用 。 数 据 复制 的 主要 目的 是 提高 分 布 式 系统 的 可 用 性 及 访问 性 能 。 目 前 数据 
复制 的 主要 方式 有 同步 数据 复制 和 噶 步 数据 复制 两 种 。 


14.3.1 同步 数据 复制 


同步 数据 复制 (Synchronous Data Replication) 又 称 实 时 数据 复制 ， 是 指 对 业务 数据 进行 实 
时 复制 ， 数 据 源 和 备份 中 心 之 间 的 数据 互 为 镜像 ， 保 持 完全 一 致 。 这 种 方式 实时 性 强 ， 灾 难 
发 生 时 远 端 数据 与 本 地 数据 完全 相同 , 可 以 达到 数据 的 零 丢 失 , 保证 高 度 的 完整 性 和 一 致 性 。 
同步 数据 复制 方式 中 ,复制 数据 在 任何 时 间 和 任何 节点 均 保持 一 致 。 如 果 复 制 环境 中 任 
何 一 个 节点 数据 发 生 了 更 新 操作 ， 这 种 变化 会 立刻 反映 到 其 他 所 有 节点 。 为 了 保证 系统 性 能 
和 实用 性 ， 数 据 被 复制 在 多 个 节点 ， 同 步 复 制 在 所 有 节点 通过 更 新 事务 保证 所 有 备份 一 致 。 
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同步 复制 在 没有 并 发 事务 发 生 时 连续 执行 ， 但 减少 了 更 新 执行 ， 增 加 了 事务 响应 时 间 ， 因 为 
事务 附加 了 额外 的 更 新 操作 和 消息 发 送 。 

同步 数据 复制 方式 的 工作 流程 如 图 14-7 所 示 ， 其 中 1、2、3、4 个 步骤 阐述 了 数据 在 生 
产 中 心 与 灾难 备份 中 心间 的 流动 过 程 。 


国 < 人 里 。 下 
裸 光 纤 
DWDM 3 三 1 一 写 1/O 至 本 地 逻辑 卷 


4 : |， 

| 图 2 一 本 地 存储 写 至 远 端 存储 
加 3 一 远 端 逻辑 卷 1/0 完成 确认 

生产 中 心 同城 灾 备 中 心 


看 4 ~ 本 地 存储 回复 主机 1/O 结束 
图 14-7 同步 数据 复制 工作 流程 


14.3.2 异步 数据 复制 


异步 数据 复制 (Asynchronous Data Replication) 是 将 本 地 的 数据 通过 后 台 同 步 的 方式 复制 
到 异地 。 这 种 方式 可 能 有 分 钟 级 的 短 时 数据 丢失 ， 很 难 达到 零 数 据 丢 失 。 蜡 步 复 制 的 原理 是 
对 本 地 主 卷 写 完成 后 ， 不 必 等 待 远程 二 级 卷 的 写 完 成 ， 主 机 立即 可 处 理 下 一 个 VO。 因 此， 
对 本 地 主机 性 能 影响 很 小 。 

与 同步 数据 复制 方式 相 比 ， 异 步 数据 复制 方式 对 带宽 和 距离 的 要 求 低 很 多 ， 它 只 要 求 在 
某 个 时 间 段 内 能 将 数据 全 部 复制 到 异地 即 可 ， 同 时 异步 数据 复制 方式 也 不 会 明显 影响 应 用 系 
统 的 性 能 。 从 传输 距离 上 说 ， 异 步 数 据 复制 可 以 使 用 信道 扩展 器 或 其 他 技术 ， 使 传输 距离 延 
长 ， 能 够 达到 几 千 公里 。 其 缺点 是 在 本 地 生产 数据 发 生 灾难 时 ， 异 地 系统 上 的 数据 可 能 会 短 
暂 损失 (如 果 广 域 网 速率 较 低 ， 交 易 未 完整 发 送 的 话 )， 但 不 影响 一 致 性 (类 似 本 地 数据 库 主 机 
的 异常 关机 )。 

异步 数据 复制 结合 同步 数据 复制 的 应 用 示意 图 见 图 14-8 中 应 用 综合 了 两 种 数据 复制 方 
式 的 特点 ， 既 实现 了 数据 的 零 丢 失 ， 又 达到 异地 容 灾 的 目的 。 


B 同城 灾 备 中 心 


阅 C 异地 灾 备 中 心 
异步 复制 


-一 一 一 数据 复制 链 路 
-~ -一 ~ 备 用 数据 复制 链 路 
一 一 一 数据 复制 方向 


图 14-8 同步 数据 复制 工作 流程 


第 14 章 数据 备份 。303。 


14.4 个 人 数据 备份 


相 比 服务 器 数据 备份 ， 个 人 计算 机 数据 备份 原理 、 操 作 都 要 简单 一 些 ， 下 面 介绍 两 种 典 
型 的 个 人 计算 机 数据 备份 方式 。 


14.4.1 Windows 自 带 的 备份 功能 


Windows 系列 操作 系统 中 ，Windows 2000 及 其 之 后 的 系统 ， 如 Windows XP、Windows 
Server 2003、Windows 7、Windows Server 2008 等 ， 都 内 置 了 数据 备份 功能 。 当 没有 专业 数 
据 备 份 软件 可 用 时 ， 使 用 Windows 自 带 的 备份 工具 也 能 在 一 定 程度 上 起 到 数据 保护 的 作用 。 
Windows 自 带 的 备份 工具 使 用 比较 简单 ， 分 为 以 下 几 个 步 又。 

(1) 单 击 “ 开 始 ” 按 钮 ， 选 择 菜单 “程序 ”一 “附件 ”一 “系统 工具 ”一 “备份 ”， 出 
现 图 14-9 所 示 的 界面 。 


欢迎 使 用 备份 或 还 原 向 导 


这 个 工具 帮助 您 备份 或 还 原 计算 机 上 的 文件 。 


如 果 愿 意 ， 修 可 以 : 


加 


克 陪 是 以 商 导 模式 启动 全] 


要 继续 , 请 单 击 “ 下 一 步 ”。 


上 四 [下 -* 四 让 mw | 


图 14-9 Windows 自 带 备 份 向 导 


(2) 单 击 “ 下 一 步 ” 按 钮 后 ， 界 面 会 提示 当前 操作 是 要 进行 数据 备份 ， 还 是 数据 恢复 ， 
这 里 我 们 以 选择 数据 备份 为 例 ， 继 续 单 击 “ 下 一 步 ” 按钮 ， 则 出 现 如 图 14-10 所 示 的 选择 界面 。 


备份 或 还 原 向 导 于 划 
要 备份 的 内 容 
Ha 
可 指定 想 备份 的 项 目 。 


要 备份 什么 ? 
个 我 的 文档 和 设置 如 
包括 “ ”文件 夹 、“ 收 藏 夹 ”、 桌 面 和 Cookies。 
个 每 个 人 的 文档 和 设置 E) 
包括 每 个 用 户 的 “我 的 文档 ”文件 夹 、“ 收 诚 夹 ”、 桌 面 和 Cookies。 


个 这 台 计算 机 上 的 所 有 信息 好 ) 


包括 这 各 计算 机 上 的 所 有 数据 ， 并 创 陵 可 以 在 出 现 严重 故障 的 情况 下 
用 来 还 原 Windows 的 系统 侈 复 磁盘 - 


[ol 


《上 一 步 @) 取消 


图 14-10 选择 备份 数据 来 源 
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本 例 中 , 我 们 选择 “让 我 选择 要 备份 的 内 容 ”, 即 自 行 选择 备份 哪些 数据 。 然 后 单 击 “ 下 
一 步 ” 按钮 ， 则 出 现 如 图 14-11 所 示 的 选择 要 备份 的 数据 项 的 界面 。 这 里 我 们 选择 备份 “C: ” 
盘 下 的 “boot” 目 录 ( 即 文件 夹 )， 单 击 “ 下 一 步 ”按钮 。 


备份 或 还 原 向 导 x 


要 备份 的 项 目 
您 可 以 备份 任何 组 合 形式 的 驱动 器 、 文 件 夹 或 文件 。 态 


< 上 - 步 @)[ 下 二 步 加 取消 | 
图 14-11 选择 备份 数据 项 


(3) 在 弹出 的 界面 中 要 求 输入 备份 数据 的 存放 位 置 及 备份 文件 的 文件 名 ， 这 里 我 们 选择 
备份 到 “V:” 盘 ， 备 份 文件 名 称 是 “Backup”， 如 图 14-12 所 示 。 


备份 或 还 原 向 导 x| 
备份 类 型 、 目 标 和 名 称 
娩 的 文件 和 设置 存在 指定 的 目标 。 厂 
演 晨 军人 区 面 回 
Fr 


《 上 一 步 @) | 下 一 步 QU) -| 取消 | 
图 14-12 选择 备份 数据 项 


(4) 继续 单 击 “ 下 一 步 ”按钮 ， 出 现 确认 备份 界面 ， 在 此 界面 中 单 击 “ 完 成 ”按钮 ， 系 
统 即 开始 备份 数据 ， 备 份 过 程 如 图 14-13 所 示 。 

备份 操作 结束 后 ， 会 在 “V:” 盘 根 目录 产生 一 个 名 为 “Backup.bkf” 的 文件 ， 此 文件 包 
含 的 就 是 备份 数据 源 “C:\boot” 的 所 有 数据 。 

Windows 自 带 的 数据 备份 工具 的 操作 比较 简单 ， 按 照 其 向 导 程 序 一 步 一 步 进行 即 可 。 其 
备份 数据 的 恢复 操作 也 可 用 类 似 方法 完成 。 
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EE SYS_D0S 
acjup. bkf 2010-07-15， 22: 


驱动 器 

标签 : 

状态 : NT 
进度 : 

时 间 

正在 处 理 

文件 数 

字 节 


[LTD 
已 用 时 间 : 估计 剩余 时 间 : 
2 6 


已 处 理 : 估计 : 
I 3 I 84 


图 14-13 数据 备份 过 程 


14.4.2 Symantec Ghost 备份 功能 


Symantec Ghost( 通 常 简称 Ghosb 是 一 款 强 大 、 易 用 、 专 业 的 备份 工具 ， 它 可 针对 整个 磁 
盘 进 行 备份 /恢复 ， 也 可 针对 磁盘 上 的 特定 分 区 进行 备份 /恢复 。Ghost 还 支持 强大 的 网 络 备份 
/恢复 ， 可 通过 网 络 进行 主机 间 一 对 一 、 一 对 多 的 数据 备份 /恢复 操作 ， 在 管理 包含 众多 主机 
的 PC 机房 时 ， 通 过 网 络 进行 批量 主机 操作 系统 备份 、 恢 复 非常 方便 。 下 面 以 用 Ghost 11.0.2 
实现 磁盘 分 区 备份 为 例 ， 来 说 明 Ghost 的 基本 用 法 。 

启动 Ghost 后 ， 选 择 菜单 Local 一 Partition 一 To Image， 即 将 本 地 磁盘 的 分 区 备份 到 映像 
文件 qmage)， 如 图 14-14 所 示 。 


| | 
| Partition 
| To Image 


图 14-14 在 Ghost 中 选择 备份 本 地 磁盘 的 分 区 到 映像 文件 


在 后 续 界 面 中 ， 需 要 选择 备份 数据 的 来 源 磁盘 ( 见 图 14-15 中 的 Select local source drive)， 
本 例 中 我 们 选择 238GB 的 那个 磁盘 ， 单 击 “OK ”按钮 。 
接 下 来 选择 需要 备份 的 分 区 ， 即 备份 来 源 磁盘 的 哪个 分 区 ， 选 择 界面 见 图 14-16。 
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Symantec 6host 1 opyright CCY 1998-2007 Syumantec Corporation. AIl rights reserve 


14-15 在 Ghost 中 选择 备份 源 磁盘 


图 14-16 在 Ghost 中 选择 备份 源 分 区 


14-16 中 ,我 们 选择 备份 该 得 的 第 一 个 分 区 , 其 卷 标 为 “SSYS_DOS”, 容量 为 20 010MB， 
单 击 OK 按钮 后 ， 则 弹出 备份 文件 存放 路 径 、 存 储 文件 名 的 界面 ， 如 图 14-17 所 示 ， 这 里 我 
们 选择 的 路 径 是 “T'\”， 备 份 数据 的 文件 名 (File Name) 是 “SYSC”， 单 击 Save 按钮 。 

在 接 下 来 弹出 的 界面 中 ， 需 要 选择 数据 备份 文件 的 压缩 方式 ， 有 三 个 选项 No( 不 压缩 )、 
Fast( 快 速 压缩 )、High( 最 大 压缩 )， 压 缩 比 越 高 ， 需 要 的 备份 数据 的 时 间 也 就 越 长 ， 这 里 根据 
用 户 自 己 的 需要 进行 选择 。 

选 好 压缩 方式 后 ， 最 后 一 个 确认 开始 备份 的 界面 ， 选 择 Yes 开始 备份 ， 选 择 No 则 取消 
备份 。 最 后 这 一 步 操作 是 很 重要 的 一 个 环节 ， 操 作 错 误 ， 会 导致 大 量 数 据 丢 失 。 当 把 一 个 分 
区 备份 为 一 个 映像 文件 时 通常 没有 什么 风险 ， 但 如 果 是 把 一 个 分 区 备份 或 复制 到 另外 一 个 分 
区 ， 或 者 将 一 个 备份 数据 文件 恢复 到 某 个 分 区 ， 就 需要 格外 小 心 。 如 果 错 误 地 选择 了 数据 复 
制 、 恢 复 的 目标 分 区 ， 则 会 导致 该 目标 分 区 的 数据 被 覆盖 ， 并 且 履 盖 后 该 分 区 的 数据 很 难 
挽回 。 

因此 ， 在 使 用 Ghost 进行 数据 复制 、 恢 复 操作 时 ， 在 最 后 一 步 确 认 界面 ， 一 定 要 仔细 看 
清楚 , 当前 Ghost 操作 的 目标 。 图 14-18 是 截取 的 确认 界面 中 的 详细 信息 (Details) 栏 目的 内 容 ， 
看 清楚 此 栏 内 容 ， 确 认 操 作 目 标 无 误 ， 方 可 单 击 Yes 按钮 进行 数据 复制 、 恢 复 操作 。 
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Bs $RECYCLE.BIN 
Bs Books 


全 Delphi $amples 


Bs RECYCLER 

Ba System Yolume Information 
[3 

Bm tmp_others 

Bs Trojan 

GT TE 3 


图 14-17 在 Ghost 中 选择 备份 文件 存放 路 径 、 文 件 名 


如 图 14-18 所 示 , 本 例 中 备份 数据 源 (Source Partition) 是 容量 20 010MB, 卷 标 为 “SYS DOS?” 
的 分 区 ， 和 前 面 操作 的 选择 一 致 。 备 份 数 据 的 目标 文件 Destination File) 是 “TN\SYSC.GHO”， 
也 与 前 述 操作 一 致 ， 因 此 可 以 开始 备份 操作 。 


Type:c [Fat32], 20010 HB, 2491 HB used, SYS_00S 
from Local drive [2], 238474 HB 
Local file T:\SYSC.6H0 


图 14-18 确认 Ghost 操作 的 目的 位 置 


若 数据 备份 /恢复 的 目的 位 置 不 是 文件 ， 而 是 分 区 ， 或 者 另 一 个 磁盘 ， 则 需要 仔细 核对 ， 
通过 目的 对 象 的 卷 标 、 容 量 等 信息 ， 检 查 是 否 正确 地 选择 了 将 进行 操作 的 目的 对 象 。 

应 用 Ghost 进行 数据 恢复 操作 时 ， 步 骤 与 备份 操作 类 似 ， 但 是 需要 特别 小 心 ， 不 能 弄 错 
了 数据 恢复 的 目的 地 ， 否 则 很 容易 导致 不 可 挽回 的 数据 丢失 。 


本 章 小 结 


本 章 从 信息 安全 的 基本 要 素 “ 数 据 完整 性 ”入 手 ， 介 绍 了 数据 完整 性 的 基本 概念 、 重 要 
意义 及 与 数据 保密 性 的 汶 析 。 介 绍 了 数据 备份 的 几 种 典型 分 类 和 常用 存储 介质 。 在 阐述 当前 
主流 的 DAS、NAS、SAN 存储 技术 的 基本 结构 后 ， 引 入 了 同步 数据 复制 、 异 步 数 据 复 制 的 
概念 。 最 后 介绍 的 Windows 自 带 备份 工具 以 及 Symantec Ghost， 都 是 针对 个 人 计算 机 用 户 的 
数据 备份 手段 ， 日 常 不 接触 服务 器 等 设备 的 用 户 能 从 此 中 受益 。 
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课 后 练习 


一 、 填 空 题 

1. 通常 说 的 磁盘 阵列 RAID， 其 缩写 来 自 于 ( )。 

2. 按 备 份 策略 划分 ， 数 据 备份 可 分 为 完全 备份 、 增 量 备份 、( 号 

3. 增 量 备份 只 备份 相对 与 上 一 次 备份 操作 以 来 ( ) 的 数据 。 

4. DAS、NAS 存储 方式 中 ， 需 要 用 到 网 络 的 是 ( 入 

5. 基于 光纤 交换 机 的 SAN 存储 , 通常 会 综合 运用 ( ) 见 余 与 ( ) 元 余 

的 方式 。 

二 、 选 择 题 

1. 数据 在 传输 过 程 中 ， 被 攻击 者 截获 并 读 取 内 容 ， 破 坏 的 是 数据 的 (  )。 
A. 保密 性 B. 完整 性 C. 可 用 性 D. 不 可 抵赖 性 

2. 数据 在 传输 过 程 中 ， 被 攻击 者 修改 了 部 分 内 容 ， 破 坏 的 是 数据 的 (  )。 
A. 保密 性 B. 完整 性 C. 可 用 性 D. 不 可 抵赖 性 


3. 至 少 需要 3 块 硬盘 组 RAID, 日 其 中 只 有 一 块 硬盘 损坏 时 , 不 会 造成 数据 丢失 的 RAID 
方式 是 ( 。 )。 


A.RAIDO B. RAID 1 C. RAIDS D. RAID 10 
4. 存储 技术 中 所 说 的 DAS， 其 缩写 来 自 于 (。”)。 

A. Disk Access System B. Disk Access Storage 

C. Direct Attached System D. Direct Attached Storage 
5. Symantec Ghost 可 以 备份 独立 的 (。””)。 

A. 分 区 、 磁 盘 B. 分 区 、 文 件 

C. 磁盘、 文件 D. 分 区 、 磁 盘 、 文 件 
三 、 简 答题 


1. 数据 保密 性 与 数据 完整 性 的 主要 区 别 是 什么 ? 

2. 保护 数据 完整 性 的 主要 手段 是 什么 ? 

3. FC-SAN 与 了 -SAN 的 主要 优点 、 缺 点 是 什么 ? 

4. 同步 数据 复制 与 异步 数据 复制 的 各 自 特 点 是 什么 ? 

5. Symantec Ghost 主要 适用 于 哪些 应 用 场合 的 数据 备份 ? 
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信息 安全 风险 是 人 为 或 自然 的 威胁 利用 系统 存在 的 脆弱 性 引发 的 安全 事件 ， 并 由 于 受 损 
信息 资产 的 重要 性 而 对 机 构造 成 的 影响 。 通 过 风险 评估 , 能 及 早 发 现 和 解决 问题 , 防 患 于 未 然 。 

本 章 结合 国内 外 信息 安全 风险 评估 发 展 的 现状 ， 给 出 了 有 关 信 息 安全 评估 的 主要 概念 、 
基本 步骤 、 实施 流程 和 评估 分 类 等 内 容 , 并 对 风险 评估 的 作用 和 相关 标准 等 方面 进行 了 曾 述 ， 
肯 在 使 信息 安全 风险 评估 作为 科学 的 方法 真正 能 够 为 读者 接受 、 理 解 和 运用 。 

本 章 重点 

e 概述 

e@ 信息 安全 风险 评估 

e 信息 安全 风险 评估 标准 


15.1 概 述 


信息 安全 风险 评估 ， 是 指 依据 国家 风险 评估 有 关 管 理 要 求 和 技术 标准 ， 对 信息 系统 及 由 
其 存储 、 处 理 和 传输 的 信息 的 机 密 性 、 完 整 性 和 可 用 性 等 安全 属性 进行 科学 、 公 正 的 综合 评 
价 的 过 程 。 通 过 对 信息 及 信息 系统 的 重要 性 、 面 临 的 威胁 、 其 自身 的 脆弱 性 以 及 已 采取 安全 
措施 有 效 性 的 分 析 ， 判 断 脆弱 性 被 威胁 源 利 用 后 可 能 发 生 的 安全 事件 以 及 其 所 造成 的 负面 影 
响 程度 来 识别 信息 安全 的 安全 风险 。 


15.2 ”信息 安全 风险 评估 


信息 安全 风险 评估 是 信息 安全 保障 体系 建立 过 程 中 的 重要 评价 方法 和 决策 机 制 。 没有 准 
确 及 时 的 风险 评估 ， 将 使 得 各 个 机 构 无 法 对 其 信息 安全 的 状况 做 出 准确 的 判断 。 因 为 任何 信 
县 系统 都 会 有 安全 风险 ， 信 息 安 全 建设 的 宗旨 之 一 ， 就 是 在 综合 考虑 成 本 与 效益 的 前 提 下 ， 
通过 安全 措施 来 控制 风险 ， 使 残余 风险 降低 到 可 接受 的 范围 内 。 

风险 评估 是 对 信息 资产 面临 的 威胁 、 存 在 的 弱点 、 造 成 的 影响 ， 以 及 三 者 综合 作用 而 带 
来 风险 的 可 能 性 的 评估 。 作 为 风险 管理 的 基础 ， 风 险 评估 是 组 织 确定 信息 安全 需求 的 一 个 重 
要 途径 ， 属 于 组 织 信息 安全 管理 体系 策划 的 过 程 。 
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15.2.1 评估 概述 


评估 是 一 个 收集 安全 保障 证 据 的 过 程 ， 也 是 针对 功能 性 和 保障 性 准则 的 分 析 过 程 。 通 过 
评估 ， 可 以 得 到 可 信 度 的 某 种 度量 ， 指 示 系 统 满足 具体 标准 的 程度 。 评 估 时 所 采用 的 标准 依 
赖 于 评估 的 目标 以 及 所 采用 的 评估 方法 。 

信息 安全 风险 评估 是 建立 信息 安全 保障 机 制 中 的 一 种 科学 方法 。 对 信息 系统 而 言 ， 存 在 
风险 并 不 意味 着 不 安全 , 只 要 风险 控制 在 可 接受 的 范围 内 , 就 可 以 达到 系统 稳定 运行 的 目的 。 
风险 评估 的 结果 为 保障 信息 系统 的 安全 建设 、 稳 定 运 行 提供 了 技术 参考 。 在 规划 与 设计 阶段 ， 
风险 评估 的 结果 是 安全 需求 的 来 源 , 为 信息 系统 的 安全 建设 提供 依据 ; 在 系统 运行 维护 阶段 ， 
由 于 信息 系统 的 动态 性 ， 需 要 定期 地 进行 风险 评估 ， 以 了 解 、 掌 握 系统 安全 状态 ， 风 险 评估 
是 保证 系统 安全 的 动态 措施 。 同 时 ， 风 险 评估 是 信息 系统 安全 等 级 确定 及 建设 过 程 中 一 种 不 
可 或 缺 的 技术 手段 。 

风险 评估 包括 的 主要 任务 如 下 。 
识别 组 织 面临 的 各 种 风险 。 
评估 风险 概率 和 可 能 带 来 的 负面 影响 。 
确定 组 织 承 受 风险 的 能 力 。 
确定 风险 消减 和 控制 的 优先 等 级 。 
推荐 风险 消减 对 策 。 
通常 信息 安全 系统 的 评估 方法 具有 以 下 儿 个 特征 。 

e 一 组 功能 需求 ， 定 义 了 系统 或 者 产品 的 安全 功能 。 
e 一 组 安全 保障 需求 ， 描 述 系 统 或 者 产品 为 满足 功能 需求 而 采取 的 若干 措施 ， 这 种 措 

施 通 常 指 所 需 的 安全 保障 证 据 。 

e 一 种 用 于 确定 系统 是 否 满足 功能 需求 的 方法 ， 这 种 方法 建立 在 分 析 安 全 保障 证 据 的 
基础 之 上 。 

e 一 种 针对 评估 结果 的 度量 标准 ( 称 为 可 信 等 级 ), 它 是 为 产品 或 者 系统 定义 的 关于 安全 
功能 的 需求 ， 表 明 产 品 或 者 系统 的 可 信 程 度 。 


15.2.2 ”评估 步骤 


在 风险 评估 过 程 中 ， 有 几 个 关键 的 问题 需要 考虑 。 

e 首先 要 确定 保护 的 对 象 (或 者 资产 ) 是 什么 ? 它 的 直接 和 间接 价值 如 何 ? 

e 其 次 资产 面临 哪些 潜在 威胁 ? 导致 威胁 的 问题 所 在 ? 威胁 发 生 的 可 能 性 有 多 大 ? 

e 资产 中 存在 哪些 弱点 可 能 会 被 威胁 利用 ? 利用 的 容易 程度 又 如 何 ? 

e 一 旦 威胁 事件 发 生 ， 组 织 会 遭受 怎样 的 损失 或 者 面临 怎样 的 负面 影响 ? 

e 最 后 ， 组 织 应 该 采取 怎样 的 安全 措施 才能 将 风险 带 来 的 损失 降低 到 最 低 程度 ? 

解决 以 上 问题 的 过 程 ， 就 是 风险 评估 的 过 程 。 

在 风险 评估 过 程 中 ， 可 以 采用 多 种 操作 方法 ， 包括 基于 知识 Knowledge-based) 的 分 析 方 
法 、 基 于 模型 (Model-based) 的 分 析 方 法 、 定 性 (Qualitative) 分 析 和 定量 (Quantitative) 分 析 , 无 论 
是 何 种 方法 ， 共 同 的 目标 都 是 找 出 组 织 信息 资产 面临 的 风险 及 其 影响 ， 以 及 目前 安全 水 平 与 
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组 织 安全 需求 之 间 的 差距 。 
15.2.3 ”评估 分 类 


在 风险 管理 的 前 期 准备 阶段 ， 组 织 已 经 根据 安全 目标 确定 了 自己 的 安全 战略 ， 其 中 就 包 
括 对 风险 评 佑 战略 的 考虑 。 所 谓 风 险 评估 战略 ， 其 实 就 是 进行 风险 评估 的 途径 ， 也 就 是 规定 
风险 评估 应 该 延续 的 操作 过 程 和 方式 。 

风险 评估 的 操作 范围 可 以 是 整个 组 织 ， 也 可 以 是 组 织 中 的 某 一 部 门 ， 或 者 独立 的 信息 系 
统 、 特 定 系统 组 件 和 服务 。 影 响 风险 评估 进展 的 某 些 因素 ， 包 括 评估 时 间 、 力 度 、 展 开 幅 度 
和 深度 ， 都 应 与 组 织 的 环境 和 安全 要 求 相 符合 。 组 织 应 该 针对 不 同 的 情况 来 选择 恰当 的 风险 
评估 途径 。 目 前 ， 实 际 工作 中 经 常 使 用 的 风险 评估 途径 包括 基线 评估 、 详 细 评估 和 组 合 评估 
三 种 。 

1. 基线 评估 


如 果 组 织 的 商业 运作 不 是 很 复杂 ， 并 且 组 织 对 信息 处 理 和 网 络 的 依赖 程度 不 是 很 高 ， 或 
者 组 织 信息 系 统 多 采用 普遍 上 且 标 准 化 的 模式 ， 基 线 风 险 评估 (Baseline Risk Assessment) 就 可 以 
直接 而 简单 地 实现 基本 的 安全 水 平 ， 并 且 满 足 组 织 及 其 商业 环境 的 所 有 要 求 。 

采用 基线 风险 评估 ， 组 织 根据 自己 的 实际 情况 (所 在 行业 、 业 务 环 境 与 性 质 等 )， 对 信息 
系统 进行 安全 基线 检查 ( 拿 现 有 的 安全 措施 与 安全 基线 规定 的 措施 进行 比较 ， 找 出 其 中 的 差 
距 )， 得 出 基本 的 安全 需求 ， 通 过 选择 并 实施 标准 的 安全 措施 来 消减 和 控制 风险 。 所 谓 的 安全 
基线 ， 是 在 诸多 标准 规范 中 规定 的 一 组 安全 控制 措施 或 者 惯例 ， 这 些 措施 和 惯例 适用 于 特定 
环境 下 的 所 有 系统 ， 可 以 满足 基本 的 安全 需求 ， 能 使 系统 达到 一 定 的 安全 防护 水 平 。 组 织 可 
以 根据 以 下 资源 来 选择 安全 基线 。 

e 国际 标准 和 国家 标准 ， 例 如 BS 7799-1、ISO 13335-4。 

e 行业 标准 或 推荐 ， 例 如 德国 联邦 安全 局 IT 基线 保护 手册 。 

e 来 自 其 他 有 类 似 商务 目标 和 规模 的 组 织 的 惯例 。 

当然 ， 如 果 环 境 和 商务 目标 较为 典型 ， 组 织 也 可 以 自行 建立 基线 。 

基线 评估 的 优点 是 需要 的 资源 少 ， 周 期 短 ， 操 作 简单 ， 对 于 环境 相似 且 安 全 需求 相当 的 
诸多 组 织 ， 基 线 评估 显然 是 最 经 济 有 效 的 风险 评估 途径。 当然 ， 基 线 评估 也 有 其 难以 避免 的 
缺点 ， 比 如 基线 水 平 的 高 低 难 以 设 定 ， 如 果 过 高 ， 可 能 导致 资源 浪费 和 限制 过 度 ; 如 果 过 低 ， 
可 能 难以 达到 充分 的 安全 ， 此 外 ， 在 管理 安全 相关 的 变化 方面 ， 基 线 评估 比较 困难 。 

基线 评估 的 目标 是 建立 一 套 满 足 信 息 安 全 基本 目标 的 最 小 的 对 策 集合 ， 它 可 以 在 全 组 织 
范围 内 实行 ， 如 果 有 特殊 需要 ， 应 该 在 此 基础 上 ， 对 特定 系统 进行 更 详细 的 评估 。 

2. 详细 评估 

详细 风险 评估 要 求 对 资产 进行 详细 识别 和 评价 ， 对 可 能 引起 风险 的 威胁 和 弱点 水 平 进行 
评估 ， 根 据 风 险 评估 的 结果 来 识别 和 选择 安全 措施 。 这 种 评估 途径 集中 体现 了 风险 管理 的 思 
想 ， 即 识别 资产 的 风险 并 将 风险 降低 到 可 接受 的 水 平 ， 以 此 证 明 管理 者 所 采用 的 安全 控制 措 
施 是 恰当 的 。 
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详细 评估 的 优点 如 下 。 

e 组 织 可 以 通过 详细 的 风险 评估 而 对 信息 安全 风险 有 一 个 精确 的 认识 ， 并 且 准 确定 义 
出 组 织 目 前 的 安全 水 平和 安全 需求 。 

e 详细 评估 的 结果 可 用 来 管理 安全 变化 。 当 然 ， 详 细 的 风险 评估 可 能 是 非常 耗费 资源 
的 过 程 ， 包 括 时 间 、 精 力 和 技术 ， 因 此 ， 组 织 应 该 仔细 设 定 待 评估 的 信息 系统 范围 ， 
明确 商务 环境 、 操 作 和 信息 资产 的 边界 。 

3. 组 合 评估 


基线 风险 评估 耗费 资源 少 、 周 期 短 、 操 作 简 单 ， 但 不 够 准确 ， 适 合 一 般 环 境 的 评估 ; 详 
细 风 险 评估 准确 而 细致 ， 但 耗费 资源 较 多 ， 适 合 严格 限定 边界 的 较 小 范围 内 的 评估 。 在 实践 
当中 ， 组 织 多 是 采用 二 者 结合 的 组 合 评估 方式 。 

为 了 决定 选择 哪 种 风险 评估 途径 ， 组 织 首 先 对 所 有 的 系统 进行 一 次 初步 的 高 级 风险 评 
估 ， 应 着 眼 于 信息 系统 的 商务 价值 和 可 能 面临 的 风险 ， 识 别 出 组 织 内 具有 高 风险 的 或 者 对 其 
商务 运作 极为 关键 的 信息 资产 (或 系统 )， 这 些 资产 或 系统 应 该 划 入 详细 风险 评估 的 范围 ， 而 
其 他 系统 则 可 以 通过 基线 风险 评估 直接 选择 安全 措施 。 

这 种 评估 途径 将 基线 和 详细 风险 评估 的 优势 结合 起 来 ， 既 节省 了 评估 所 耗费 的 资源 ， 又 
能 确保 获得 一 个 全 面 系统 的 评估 结果 ， 而 且 ， 组 织 的 资源 和 资金 能 够 应 用 到 最 能 发 挥 作用 的 


风险 评估 不 够 准确 ， 某 些 本 来 需要 详细 评估 的 系统 也 许 会 被 忽略 ， 最 终 导 致 结果 失 准 。 
15.3 ”信息 安全 风险 评估 标准 


在 前 面 的 第 2 章 我 们 已 经 回顾 过 安全 评估 标准 的 发 展 历程 以 及 各 个 标准 相互 的 关系 , 包 
括 : 著名 的 《可 信 计 算 机 系统 评价 准则 》(CTCSEC， 又 称 橘 皮 书 )， 欧 共 体 发 布 的 《信息 技术 
安全 评价 准则 》GTSEC)， 加 拿 大 发 布 的 《加 拿 大 可 信 计 算 机 产品 评价 准则 》(CTCPEC)， 在 
TCSEC 和 ITSEC 的 基础 上 改进 过 的 《信息 技术 安全 评价 联邦 准则 》GFC)， 以 及 来 自 欧美 七 
方 六 国 的 组 织 共 同 起 草 的 《通用 准则 》(CC)。 

上 述 的 各 种 标准 中 有 若干 评估 标准 对 整个 信息 安全 形式 化 评估 方法 具有 重大 的 影响 力 ， 
其 中 最 主要 的 有 《可 信 计 算 机 系统 评估 准则 》TCSEC 和 《信息 技术 安全 评估 标准 》ITSEC。 
现在 ，《 通 用 准则 》CC 已 经 取代 了 这 些 标 准 而 成 为 国际 标准 的 评估 方法 。 本 节 将 以 国际 上 
的 这 些 标准 为 例 ， 介 绍 标准 内 容 ; 结合 中 国 的 信息 安全 现状 ， 介 绍 相关 的 计算 机 信息 系统 安 
全 保护 等 级 标准 。 


15.3.1 评估 前 的 决策 

即使 不 对 系统 进行 安全 评估 ， 安 全 功能 需求 和 安全 保障 需求 也 能 提供 一 种 良好 的 总 体 描 
述 ， 体 现 提 高 保障 性 所 需 考虑 的 因素 。 对 于 任何 系统 来 说 ， 这 些 因 素 都 具有 十 分 重要 的 价值 。 
在 决定 进行 正式 的 评估 之 前 ， 必 须 综 合 考虑 安全 和 成 本 两 方面 的 因素 ， 例 如 系统 的 描述 和 特 
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点 等 因素 。 寻 求 形式 化 评估 的 组 织 不 仅 要 支付 评估 者 相应 的 费用 ， 而 且 要 承担 经 验 丰富 的 专 
家 人 员 的 费用 ， 以 及 开发 安全 文档 和 收集 保障 证 据 所 需要 的 费用 。 与 评估 人 员 就 培训 、 澄 清 
和 更 正 一 些 主要 问题 所 进行 的 交互 ， 将 花费 一 定 的 开发 人 员 的 时 间 ， 甚 至 影响 到 开发 和 发 布 
的 进度 。 令 人 遗憾 的 是 ， 即 使 进行 了 安全 评估 之 后 ， 系 统 也 不 能 证 明 具 有 完全 抵御 任何 攻击 
的 能 力 。 现 实 的 情况 是 ， 大 多 数 系统 都 进行 在 恶意 环境 中 ， 因 而 系统 必须 能 够 抵御 攻击 和 芷 
忽 所 带 来 的 错误 。 

由 专家 独立 进行 的 评估 ， 专 门 针 对 安全 机 制 的 效率 以 及 安全 机 制 实施 和 运转 的 正确 性 ， 
对 于 寻找 产品 或 系统 中 的 缺陷 和 弱点 将 起 到 十 分 重要 的 作用 。 这 种 系统 分 析 的 第 一 步 是 评价 
需求 ， 需 求 必须 是 一 致 的 、 完 整 的 、 技 术 合理 并 且 充 分 的 ， 这 样 才能 确保 系统 能 够 抵御 各 种 
威胁 。 系 统 评估 的 另 一 部 分 工作 是 分 析 安 全 特征 满足 安全 需求 的 程度 。 评 估 程 序 需要 指明 管 
理 类 型 ， 用 户 、 安 装 以 及 其 他 系统 ， 它 们 为 管理 者 和 维护 者 提供 正确 配置 管理 系统 所 需要 的 
信息 文档 ， 以 便 安全 机 制 能 够 正常 工作 。 

下 面 我 们 介绍 一 些 国 际 上 主流 的 儿 种 信息 安全 评估 标准 及 其 安全 等 级 划分 。 


15.3.2 TCSEC 


TCSEC, 俗称 橘 皮 书 ， 即 美国 国防 部 的 《可 信 计 算 机 系统 评价 准则 》， 是 第 一 个 正式 的 
计算 机 信息 安全 评估 标准 ， 具 有 划时代 的 意义 ， 于 1970 年 由 美国 国防 科学 委员 会 提出 ， 并 于 
1985 年 12 月 由 美国 国防 部 公布 。TCSEC 将 安全 分 为 4 个 方面 : 安全 策略 、 可 说 明 性 、 安 全 
保障 和 文档 。 该 标准 将 计算 机 系统 的 安全 划分 为 4 个 类 别 ，8 个 级 别 ， 按 照 安 全 程度 由 低 到 
高 依次 是 : D1、Cl1、C2、Bl1、B2、B3、Al 及 超 Al 级 。TCSEC 标准 如 表 15-1 所 示 。 


表 15-1 TCSEC 安全 评价 标准 

主要 功能 

Dp ln 保护 措施 很 少 ， 没 有 安全 功能 
a 自主 存储 控制 


> C2 受 控 存 储 控制 单独 的 可 查 性 ， 安 全 标识 
Bl 标识 安全 保护 强制 存 取 控制 ， 安 全 标识 

B B2 结构 保护 面向 安全 的 体系 结构 ， 具 有 较 好 抗 渗 透 能 
B3 安全 域 存 取 监 控 ， 具 有 高 抗 渗透 能 力 

A Al 验证 设计 形式 化 的 最 高 级 描述 ， 验 证 和 隐蔽 通道 


超 Al 级 验证 源码 在 Al 安全 级 别 基础 上 ， 增 加 源码 级 验证 


1. DD 类 安全 等 级 


D 类 安全 是 最 低 的 安全 类 比 ， 该 类 只 包括 D1 一 个 级 别 ，D1 的 安全 等 级 最 低 。D1 系统 
只 为 文件 和 用 户 提 供 安全 保护 。 D1 系统 最 普通 的 形式 是 本 地 操作 系统 , 或 者 是 一 个 完全 没有 
保护 的 网 络 。 整 个 计算 机 系统 是 不 可 信任 的 ， 硬 件 和 操作 系统 很 容易 被 侵袭 。D1 级 计算 机 系 
统 标准 规定 对 用 户 没有 验证 ， 也 就 是 任何 人 都 可 以 使 用 该 计算 机 系统 而 不 会 有 任何 障碍 。 系 
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统 不 要 求 用 户 进行 登记 (要 求 用 户 提供 用 户 名 ) 或 口令 保护 (要 求 用 户 提供 唯一 字符 串 来 进行 访 
问 )， 任 何人 都 可 以 坐 在 计算 机 前 并 开始 使 用 它 。 

D1 级 的 计算 机 系统 包括 : DOS、Windows 3.xe 及 Windows 95( 不 在 工作 组 方式 中 ); Apple 
的 System7.x。 


2. C 类 安全 等 级 


C 类 安全 等 级 能 够 提供 审慎 的 保护 ， 并 为 用 户 的 行动 和 责任 提供 审计 能 力 。C 类 安全 等 
级 可 划分 为 Cl 和 C2 两 类 。 

Decl 豚 

C1 又 称 为 选择 性 安全 保护 (Discretionary Security Protection) 系 统 ， 可 信任 运算 基础 体制 
(Trusted Computing Base，TCB) 通 过 将 用 户 和 数据 分 开 来 达到 安全 的 目的 。 在 C1 系统 中 ， 所 
有 的 用 户 以 同样 的 灵敏 度 来 处 理 数据 ， 即 用 户 认 为 Cl 系统 中 的 所 有 文档 都 具有 相同 的 机 密 
性 。C1 级 系统 要 求 硬件 有 一 定 的 安全 机 制 (如 硬件 带 锁 装 置 和 需要 钥匙 才能 使 用 计算 机 等 )， 
用 户 在 使 用 前 必须 登录 到 系统 。C1 级 系统 还 要 求 具有 完全 访问 控制 的 能 力 。C1 级 防护 不 足 
之 处 在 于 用 户 直接 访问 操作 系统 的 根 。C1 级 不 能 控制 进入 系统 的 用 户 的 访问 级 别 ,所 以 用 户 
可 以 将 系统 的 数据 任意 移 走 。 

常见 的 C1 级 兼容 计算 机 系统 有 : UNIX 系统 、 XENIX、Novell 3.x 或 更 高 版 本 、Windows 
NT。 

2) C2 级 

C2 系统 比 Cl 系统 加 强 了 可 调 的 审慎 控制 。 在 连接 到 网 络 上 时 ，C2 系统 的 用 户 分 别 对 
各 自 的 行为 负责 。C2 系统 通过 登录 过 程 、 安 全 事件 和 资源 隔离 来 增强 这 种 控制 。C2 系统 具 
有 C1 系统 中 所 有 的 安全 性 特征 。 

C2 级 在 C1 级 的 某 些 不 足 之 处 加 强 了 几 个 特性 ，C2 级 引进 了 受 控 访问 环境 (用 户 权 限 级 
别 ) 的 增强 特性 。 这 一 特性 不 仅 以 用 户 权限 为 基础 ， 还 进一步 限制 了 用 户 执行 某 些 系统 指令 。 
授权 分 级 使 系统 管理 员 能 够 分 用 户 分 组 ， 授 予 他 们 访问 某 些 程序 的 权限 或 访问 分 级 目录 。 男 
一 方面 ， 用 户 权 限 以 个 人 为 单位 授权 用 户 对 某 一 程序 所 在 目录 的 访问 。 如 果 其 他 程序 和 数据 
也 在 同一 目录 下 , 用户 也 将 自动 得 到 访问 这 些 信息 的 权限 。C2 级 系统 还 采用 了 系统 审计 。 审 
计 特 性 跟踪 所 有 的 “安全 事件 ”， 如 登录 (成 功 和 失败 的 ) 以 及 系统 管理 员 的 工作 ， 如 改变 用 
户 访问 和 口令 。 

常见 的 C2 级 操作 系统 有 : UNIX 系统 、XENIX、Novell 3.x 或 更 高 版 本 、Windows NT、 
Windows 2000 和 Windows 2003 等 。 

3. B 类 安全 等 级 

B 类 系统 具有 强制 性 保护 功能 。 强 制 性 保护 意味 着 如 果 用 户 没 有 与 安全 等 级 相连 ， 系 统 
就 不 会 让 用 户 存 取 对 象 。B 类 安全 等 级 可 分 为 B1、B2 和 B3 三 类 。 

1) Bl 级 

Bl 级 又 称 为 标志 安全 保护 (Labeled Security Protection)， 它 支持 多 级 安全 ， 对 网 络 、 应 用 
程序 和 工作 站 等 实施 不 同 的 安全 策略 。 这 种 安全 级 别 的 计算 机 系统 一 般 用 于 政府 机 构 ， 例 如 
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国防 部 和 国家 安全 局 的 计算 机 系统 。 

2) B2 级 

B2 级 别称 为 结构 化 的 保护 (Structured Protection)。B2 级 安全 要 求 计 算 机 系统 中 所 有 对 象 
加 标签 ， 而 且 给 设备 (如 工作 站 、 终 端 和 磁盘 驱动 器 ) 分 配 安全 级 别 。 如 用 户 可 以 访问 一 台 工 
作 站 ， 但 可 能 不 允许 访问 装 有 人 员工 资 资料 的 磁盘 子 系统 。B2 系统 必须 满足 Bl 系统 的 所 有 
要 求 。 另 外 ，B2 系统 的 管理 员 必 须 使 用 一 个 明确 的 、 文 档 化 的 安全 策略 模式 作为 系统 的 可 信 
任 运算 基础 体制 。 

3) B3 级 

B3 级 ， 即 安全 域 级 别 (Security Domain)， 必 须 符合 B2 系统 的 所 有 安全 需求 。B3 系统 具 
有 很 强 的 监视 委托 管理 访问 能 力 和 抗 干 扰 能 力 。B3 系统 必须 设 有 安全 管理 员 ，B3 级 要 求 用 
户 工 作 站 或 终端 通过 可 信任 途径 连接 网 络 系 统 ， 这 一 级 必须 采用 硬件 来 保护 安全 系统 的 存 
储 区 。 

4. A 类 安全 等 级 


这 是 橙 皮 书 中 的 最 高 安全 级 别 ， 这 一 级 有 时 也 被 称 为 验证 设计 (Verified Design) 级 别 。 与 
前 面 提 到 的 各 级 级 别 一 样 ， 这 一 级 包括 了 它 下 面 各 级 的 所 有 特性 。A 级 还 附加 一 个 安全 系统 
受 监视 的 设计 要 求 ， 合 格 的 安全 个 体 必 须 分 析 并 通过 这 一 设计 。 另 外 ， 必 须 采 用 严格 的 形式 
化 方法 来 证 明 该 系统 的 安全 性 。 而 且 在 A 级 ， 所 有 构成 系统 的 部 件 的 来 源 必须 安全 保证 ， 这 
些 安全 措施 还 必须 担保 在 销售 过 程 中 这 些 部 件 不 受 损 害 。 

1) Al 级 

Al 级 与 B3 级 相似 ， 对 系统 的 结构 和 策略 不 作 特别 要 求 。Al 系统 的 显著 特征 是 ， 系 统 
的 设计 者 必须 按照 一 个 正式 的 设计 规范 来 分 析 系 统 。 对 系统 分 析 后 ， 设 计 者 必须 运用 核对 技 
术 来 确保 系统 符合 设计 规范 。 

2) 超 Al 级 

超 Al 级 在 Al 级 基础 上 增加 了 许多 安全 措施 ， 超 出 了 目前 的 技术 发 展 ， 这 些 只 是 为 了 
今后 的 工作 提供 指导 ， 在 未 来 随 着 更 多 更 先进 的 分 析 技术 的 出 现 ， 此 级 的 要 求 也 会 变 得 更 加 
明确 清晰 。 在 这 一 级 ， 设 计 环 境 将 变 得 更 重要 ， 形 式 化 高 层 规约 的 分 析 将 对 测试 提供 帮助 。 
超 Al 级 系统 涉及 的 范围 包括 系统 体系 结构 、 安 全 测试 、 形 式 化 规约 与 验证 、 可 信 设 计 环 
境 等 。 

在 网 络 的 具体 设计 过 程 中 ， 根 据 实际 情况 综合 考虑 ， 确 定 一 个 比较 合理 且 性 能 较 高 的 网 
络 安全 级 别 。 需要 说 明 的 是 ，TCSEC 标准 也 存在 不 足 ， 它 只 针对 孤立 的 计算 机 系统 ， 特 别 是 
小 型 机 和 主机 系统 ; 它 假设 有 一 定 的 物理 保障 ， 所 以 该 标准 适合 政府 和 军队 ， 不 一 定 适 合 企 
业 用 户 。 因 此 ， 各 个 国家 和 地 区 根据 不 同情 况 ， 相 继 又 制定 出 了 不 同 的 安全 评价 标准 。 


15.3.3 ”欧洲 的 安全 评价 标准 (ITSEC) 


在 信息 安全 保障 阶段 ， 欧 洲 四 国 ( 英 、 法 、 德 、 荷 ) 提 出 了 评价 满足 保密 性 、 完 整 性 、 可 
用 性 要 求 的 《信息 技术 安全 评价 准则 》GTSEC，7z1przratiom Technology Security Evaluation 
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Criteria)， 又 称 欧洲 白皮书 。ITSEC 除了 吸收 TCSEC 的 成 功 经 验 之 外 ， 首 次 提出 了 信息 安全 
的 保密 性 、 完 整 性 、 可 用 性 ， 把 可 信 计 算 机 的 概念 提高 到 了 可 信 信 息 技术 的 高 度 。 

ITSEC 是 欧洲 多 国安 全 评价 方法 的 综合 产物 ， 应 用 领域 为 军队 、 政 府 和 商业 。 该 标准 将 
安全 概念 分 为 功能 与 评估 两 部 分 。 功 能 准则 从 F1~F10 共 分 10 级 。1 一 5 级 对 应 于 TCSEC 
的 DD 到 A。F6 至 F10 级 分 别 对 应 数据 和 程序 的 完整 性 、 系 统 的 可 用 性 、 数 据 通信 的 完整 性 、 
数据 通信 的 保密 性 以 及 机 密 性 和 完整 性 的 网 络 安全 。 评 估 准 则 分 为 6 级 ， 分 别 是 测试 、 配 置 
控制 和 可 控 的 分 配 、 能 访问 详细 设计 和 源码 、 详 细 的 脆弱 性 分 析 、 设 计 与 源码 明显 对 应 以 及 
设计 与 源码 在 形式 上 一 致 。 


15.3.4 ”加 拿 大 的 评价 标准 (CTCPEC) 


加 拿 大 1988 年 制定 的 《加 拿 大 可 信 计 算 机 产品 评估 准则 》CTCPEC(Canadian Trusted 
Computer Product Evaluation Criteria) 专 门 针对 政府 需求 而 设计 。1989 年 5 月 公布 第 一 版 ， 并 
于 1993 年 1 月 在 结合 TCSEC 与 ITSEC 的 基础 上 ， 公 布 了 第 三 版 。 与 ITSEC 类 似 ， 该 标准 
将 安全 分 为 功能 性 需求 和 保证 性 需要 两 部 分 。 功 能 性 需求 共 划 分 为 四 大 类 : 机 密 性 、 完 整 性 、 
可 用 性 和 可 控 性 。 每 种 安全 需求 又 可 以 分 成 很 多 小 类 ， 来 表示 安全 性 上 的 差别 ， 分 级 条 数 为 
0~5 级 。 


15.3.5 ”美国 联邦 准则 (FC) 


1993 年 ,美国 对 TCSEC 做 了 补充 和 修改 ， 制 定 了 《信息 技术 安全 性 评价 联邦 准则 》 
FCCGFederal Criteria)， 是 对 TCSEC 的 升级 ， 并 引入 了 “保护 轮廓 ”CPP) 的 概念 。 每 个 轮廓 都 
包括 功能 、 开 发 保证 和 评价 三 部 分 。FC 充分 吸取 了 ITSEC 和 CTCPEC 的 优点 ， 在 美国 的 政 
府 、 民 间 和 商业 领域 得 到 广泛 应 用 。 


15.3.6 ”国际 通用 标准 (CC) 


1993 年 6 月 ，CTCPEC、FC、TCSEC、ITSEC 的 发 起 者 联合 起 来 ， 将 各 自 独 立 的 标准 
组 合成 一 个 单一 的 、 能 被 广泛 使 用 的 开 安全 准则 : CC(Common Criteria)。 并 把 结果 作为 国际 
标准 提交 给 ISO, 它 是 国际 标准 化 组 织 统一 现 有 多 种 准则 的 结果 ,是 目前 最 全 面 的 评价 准则 。 
1996 年 6 月 CC 第 一 版 发 布 ; 1998 年 5 月, CC 第 二 版 发 布 ; 1999 年 10 月 CC v2.1 版 发 布 ， 
并 且 成 为 ISO 标准 。CC 的 主要 思想 和 框架 都 取 自 ITSEC 和 FC， 并 充分 突出 了 “保护 轮廓 ” 
概念 。 CC 将 评估 过 程 划分 为 功能 和 保证 两 部 分 , 评估 等 级 分 为 EAL1、EAL2、EAL3、EAIL4、 
EAL5、EAL6 和 EAL7 共 7 个 等 级 。 每 一 级 均 需 评估 7 个 功能 类 ， 分 别 是 配置 管理 、 分 发 和 
操作 、 开 发 过 程 、 指 导 文 献 、 生 命 期 的 技术 支持 、 测 试 和 脆弱 性 评估 。 

1998 年 , CC 已 经 成 为 事实 上 的 美国 安全 评估 标准 ,TCSEC 在 评估 完 最 后 一 个 产品 之 后 ， 
于 2000 年 被 废弃 。 同 时 ， 原 来 使 用 的 ITSEC 的 欧洲 国家 也 停止 了 该 标准 的 项 目 ， 但 是 旧 的 
程序 的 某 些 残 余 仍 然 存 在 。 


15.3.7 ”中 国 的 安全 标准 
由 公安 部 提出 并 组 织 制定 、 国 家 质量 技术 监督 局 发 布 的 强制 性 国家 标准 : 《计算 机 信息 
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系统 安全 保护 等 级 划分 准则 GB 17859 一 1999》, 将 计算 机 信息 系统 的 安全 保护 等 级 划分 为 五 
个 等 级 。 

第 二 级 : 系统 审计 保护 级 ; 

第 三 级 : 安全 标记 保护 级 ; 

第 四 级 : 结构 化 保护 级 ; 

第 五 级 : 访问 验证 保护 级 。 

标准 适用 于 对 计算 机 信息 系统 安全 保护 技术 能 力 等 级 的 划分 。 计 算 机 信息 系统 安全 保护 
能 力 随 着 安全 保护 等 级 的 增高 ， 逐 渐 增 强 。 用 户 可 以 根据 自己 计算 机 信息 系统 的 重要 程度 确 
定 相应 的 安全 保护 级 别 ， 并 针对 相应 级 别 进行 建设 。 

1. 用 户 自主 保护 级 


本 级 的 计算 机 信息 系统 可 信 计 算 机 通过 隔离 用 户 与 数据 ， 使 用 户 具备 自主 安全 保护 的 能 
力 。 它 具有 多 种 形式 的 控制 能 力 ， 对 用 户 实施 访问 控制 ， 即 为 用 户 提供 可 行 的 手段 ， 保 护 用 
户 和 用 户 组 信息 ， 避 免 其 他 用 户 对 数据 的 非法 读 写 与 破坏 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 机 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 ( 例 
如 : 访问 控制 表 ) 允 许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 控制 客体 的 共享 ， 阻 止 非 授 
权 用 户 读 取 敏感 信息 。 

2) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 机 初始 执行 时 ， 首 先 要 求 用 户 标识 自己 的 身份 ， 并 使 用 保护 机 
制 (例如 : 口令 ) 来 鉴别 用 户 的 身份 ， 阻 止 非 授 权 用 户 访问 用 户 身份 鉴别 数据 。 

3) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 机 通过 自主 完整 性 策略 ， 阻 止 非 授权 用 户 修改 或 破坏 敏感 信息 。 

2. 系统 审计 保护 级 


与 用 户 自主 保护 级 相 比 ， 本 级 的 计算 机 信息 系统 可 信 计 算 机 实施 了 粒度 更 细 的 自主 访问 
控制 ， 它 通过 登录 规程 、 审 计 安 全 性 相关 事件 和 隔离 资源 ， 使 用 户 对 自己 的 行为 负责 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 机 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 ,实施 机 制 ( 例 
如 : 访问 控制 表 ) 允 许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 控制 客体 的 共享 ， 阻 止 非 授 
权 用 户 读 取 敏感 信息 ， 并 控制 访问 权限 扩散 。 自 主 访问 控制 机 制 根据 用 户 指定 方式 或 默认 方 
式 ， 阻 止 非 授 权 用 户 访 问 客体 。 访 问 控制 的 粒度 是 单个 用 户 。 没 有 存 取 权 的 用 户 只 允许 由 授 
权 用 户 指定 对 客体 的 访问 权 。 

2) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 机 初始 执行 时 ， 首 先 要 求 用 户 标识 自己 的 身份 ， 并 使 用 保护 机 
制 (例如 : 口令) 来 鉴别 用 户 的 身份 ， 阻止 非 授权 用 户 访问 用 户 身份 鉴别 数据 。 通 过 为 用 户 提 
供 唯一 标识 ， 计 算 机 信息 系统 可 信 计 算 机 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 
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信 计 算 机 还 具备 将 身份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

3) 客体 重用 

在 计算 机 信息 系统 可 信 计 算 机 的 空闲 存储 客体 空间 中 ， 对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ， 撤 销 该 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访问 
权时 ， 当 前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

4) 审计 

计算 机 信息 系统 可 信 计 算 机 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ， 并 能 阻止 非 
授权 的 用 户 对 它 访问 或 破坏 。 计 算 机 信息 系统 可 信 计 算 机 能 记录 下 述 事 件 ， 使 用 身份 鉴别 机 
制 ; 将 客体 引入 用 户 地 址 空间 ; 删除 客体 ， 由 操作 员 、 系 统管 理 员 或 系统 安全 管理 员 实施 的 
动作 ， 以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ， 其 审计 记录 包括 : 事件 的 日 期 和 时 
间 、 用 户 、 事 件 类 型 、 事 件 是 否 成 功 。 对 于 身份 鉴别 事件 ， 审 计 记录 包含 的 来 源 ， 对 于 客体 
引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ， 审 计 记 录 包 含 客体 名 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 机 独立 分 辩 的 审计 事件 ， 审 计 机 制 提 供 审计 记录 接 
口 , 可 由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 机 独立 分 辩 的 审计 记录 。 

5) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 机 通过 自主 完整 性 策略 ， 阻 止 非 授权 用 户 修改 或 破坏 敏感 信息 。 

3. 安全 标记 保护 级 


本 级 的 计算 机 信息 系统 可 信 计 算 机 具有 系统 审计 保护 级 所 有 功能 。 此 外 ， 还 提供 有 关 安 
全 策略 模型 、 数 据 标记 以 及 主体 对 客体 强制 访问 控制 的 非 形式 化 描述 ， 有 具有 准确 地 标记 输出 
信息 的 能 力 ; 消除 通过 测试 发 现 的 任何 错误 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 机 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 ,实施 机 制 ( 例 
如 : 访问 控制 表 ) 允 许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 控制 客体 的 共享 ， 阻 止 非 授 
权 用 户 读 取 敏感 信息 ， 并 控制 访问 权限 扩散 。 自 主 访问 控制 机 制 根据 用 户 指定 方式 或 默认 方 
式 ， 阻 止 非 授权 用 户 访问 客体 。 访 问 控制 的 粒度 是 单个 用 户 。 没 有 存 取 权 的 用 户 只 允许 由 授 
权 用 户 指定 对 客体 的 访问 权 。 阻 止 非 授 权 用 户 读 取 敏 感 信息 。 

2) 强制 访问 控制 

计算 机 信息 系统 可 信 计 算 机 对 所 有 主体 及 其 所 控制 的 客体 (例如 : 进程 、 文 件 、 段 、 设 备 ) 
实施 强制 访问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ， 这 些 标记 是 等 级 分 类 和 非 等 级 类 别 的 
组 合 ， 它 们 是 实施 强制 访问 控制 的 依据 。 计 算 机 信息 系统 可 信 计 算 机 支持 两 种 或 两 种 以 上 成 
分 组 成 的 安全 级 。 

3) 标记 

计算 机 信息 系统 可 信 计 算 机 应 维护 与 主体 及 其 控制 的 存储 客体 (例如 : 进程 、 文 件 、 
段 、 设 备 ) 相 关 的 敏感 标记 。 这 些 标记 是 实施 强制 访问 的 基础 。 为 了 输入 未 加 安全 标记 的 数据 ， 
计算 机 信息 系统 可 信 计 算 机 向 授权 用 户 要 求 并 接受 这 些 数据 的 安全 级 别 ， 且 可 由 计算 机 信息 
系统 可 信 计 算 机 审计 。 
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4 身份 鉴别 

计算 机 信息 系统 可 信 计 算 机 初始 执行 时 ， 首 先 要 求 用 户 标识 自己 的 身份 ， 而 且 ， 计 算 机 
这 息 系统 可 信 计 算 机 维护 用 户 身份 识别 数据 并 确定 用 户 访问 权 及 授权 数据 。 计 算 机 信息 系统 
可 信 计 算 机 使 用 这 些 数据 鉴别 用 户 身份 ， 并 使 用 保护 机 制 ( 例 如 : 口令) 来 鉴别 用 户 的 身份 ; 
阻止 非 授权 用 户 访问 用 户 身份 鉴别 数据 。 通 过 为 用 户 提供 唯一 标识 ， 计 算 机 信息 系统 可 信 计 
算 机 能 够 使 用 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 机 还 具备 将 身份 标识 与 该 用 
户 所 有 可 审计 行为 相关 联 的 能 力 。 

5) 客体 重用 

在 计算 机 信息 系统 可 信 计 算 机 的 空闲 存储 客体 空间 中 ， 对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ， 撤 销 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访问 权 
时 ， 当 前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

6) 审计 

计算 机 信息 系统 可 信 计 算 机 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ， 并 能 阻止 非 
授权 的 用 户 对 它 访问 或 破坏 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 机 独立 分 辨 的 审计 事件 ， 审 计 机 制 提供 的 审计 记录 接 
口 , 可 由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 机 独立 分 辩 的 审计 记录 。 

7) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 机 通过 自主 和 强制 完整 性 策略 ， 阻 止 非 授权 用 户 修改 或 破坏 敏 


4. 结构 化 保护 级 


本 级 的 计算 机 信息 系统 可 信 计 算 机 建立 于 一 个 明确 定义 的 形式 化 安全 策略 模型 之 上 ， 它 
要 求 将 第 三 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 。 此 外 ， 还 要 考虑 隐蔽 通 
道 。 本 级 的 计算 机 信息 系统 可 信 计 算 机 必须 结构 化 为 关键 保护 元 素 和 非 关键 保护 元 素 。 计 算 
机 信息 系统 可 信 计 算 机 的 接口 也 必须 明确 定义 ， 使 其 设计 与 实现 能 经 受 更 充分 的 测试 和 更 完 
整 的 复审 。 加 强 了 鉴别 机 制 ;支持 系统 管理 员 和 操作 员 的 职能 ， 提 供 可 信 设 施 管理 ， 增 强 了 
配置 管理 控制 。 系 统 具 有 相当 的 抗 渗透 能 力 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 机 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 ( 例 
如 : 访问 控制 表 ) 允 许 命名 用 户 和 (或 ) 以 用 户 组 的 身份 规定 并 控制 客体 的 共享 ， 阻止 非 授 用 户 
读 取 敏感 信息 ， 并 控制 访问 权限 扩散 。 

自主 访问 控制 机 制 根据 用 户 指定 的 方式 或 默认 方式 ， 阻 止 非 授 权 用 户 访问 客体 。 访问 控 
制 的 粒度 是 单个 用 户 。 没 有 存 取 权 的 用 户 只 允许 由 授权 用 户 指定 对 客体 的 访问 权 。 

2) 强制 访问 控制 

计算 机 信息 系统 可 信 计 算 机 对 外 部 主体 能 够 直接 或 间接 访问 的 所 有 资源 (例如 : 主体 、 存 
储 客体 和 输入 输出 资源 ) 实 施 强制 访问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ， 这 些 标 记 是 等 
级 分 类 和 非 等 级 类 别 的 组 合 ， 它 们 是 实施 强制 访问 控制 的 依据 。 计 算 机 信息 系统 可 信 计 算 机 
支持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 
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3) 标记 

计算 机 信息 系统 可 信 计 算 机 维护 与 可 被 外 部 主体 直接 或 间接 访问 到 的 计算 机 信息 系统 
资源 (例如 : 主体 、 存 储 客体 、 只 读 存 储 器 ) 相 关 的 敏感 标记 。 这 些 标记 是 实施 强制 访问 的 基 
础 。 为 了 输入 未 加 安全 标记 的 数据 ， 计 算 机 信息 系统 可 信 计 算 机 向 授权 用 户 要 求 并 接受 这 些 
数据 的 安全 级 别 ， 且 可 由 计算 机 信息 系统 可 信 计 算 机 审计 。 

4) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 机 初始 执行 时 ， 首 先 要 求 用 户 标识 自己 的 身份 ， 而 且 ， 计 算 机 
信息 系统 可 信 计 算 机 维护 用 户 身份 识别 数据 并 确定 用 户 访问 权 及 授权 数据 。 计 算 机 信息 系统 
可 信 计 算 机 使 用 这 些 数据 鉴别 用 户 身 份 ， 并 使 用 保护 机 制 (例如 : 口令 ) 来 鉴别 用 户 的 身份 ; 
阻止 非 授权 用 户 访问 用 户 身份 鉴别 数据 。 通 过 为 用 户 提供 唯一 标识 ， 计 算 机 信息 系统 可 信 计 
算 机 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 机 还 具备 将 身份 标识 与 该 用 户 
所 有 可 审计 行为 相关 联 的 能 力 。 

5) 客体 重用 

在 计算 机 信息 系统 可 信 计 算 机 的 空闲 存储 客体 空间 中 ， 对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ， 撤 销 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访问 权 
时 ， 当 前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

6) 审计 

计算 机 信息 系统 可 信 计 算 机 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 址 
空间 ， 删 除 客体 ， 由 操作 员 、 系 统管 理 员 或 系统 安全 管理 员 实 施 的 动作 ， 以 及 其 他 与 系统 安 
全 有 关 的 事件 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 机 独立 分 辩 的 审计 事件 ， 审 计 机 制 提 供 的 审计 记录 接 
口 可 由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 机 独立 分 辨 的 审计 记录 。 

计算 机 信息 系统 可 信 计 算 机 能 够 审计 利用 隐蔽 存储 信道 时 可 能 被 使 用 的 事件 。 

7) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 机 通过 自主 和 强制 完整 性 策略 ， 阻 止 非 授权 用 户 修改 或 破坏 敏 
感 信息 。 在 网 络 环境 中 ， 使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 受 损 。 

8) 隐蔽 信道 分 析 

系统 开发 者 应 彻底 搜索 隐蔽 存储 信道 ， 并 根据 实际 测量 或 工程 估算 确定 每 一 个 被 标识 信 
道 的 最 大 带宽 。 

9) 可 信 路 径 

对 用 户 的 初始 登录 和 鉴别 ， 计 算 机 信息 系统 可 信 计 算 机 在 它 与 用 户 之 间 提 供 可 信 通 信 路 
径 。 该 路 径 上 的 通信 只 能 由 该 用 户 初始 化 。 

5. 访问 验证 保护 级 


本 级 的 计算 机 信息 系统 可 信 计 算 机 满足 访问 监控 器 需求 。 访 问 监控 器 仲裁 主体 对 客体 的 
全 部 访问 。 访 问 监控 器 本 身 是 抗 算 改 的 ， 必 须 足 够 小 ， 能 够 分 析 和 测试 。 为 了 满足 访问 监控 
器 需求 ， 计 算 机 信息 系统 可 信 计 算 机 在 其 构造 时 ， 排 除 那些 对 实施 安全 策略 来 说 并 非 必要 的 
代码 ; 在 设计 和 实现 时 ， 从 系统 工程 角度 将 其 复杂 性 降低 到 最 小 程度 。 支持 安全 管理 员 职 能 ; 
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扩充 审计 机 制 ， 当 发 生 与 安全 相关 的 事件 时 发 出 信号 ; 提供 系统 恢复 机 制 。 系 统 具 有 很 高 的 
抗 渗透 能 力 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 机 定义 并 控制 系统 中 命名 用 户 对 命名 客体 的 访问 ,实施 机 制 ( 例 
如 : 访问 控制 表 ) 允 许 命 名 用 户 和 (或 ) 以 用 户 组 的 身份 规定 并 控制 客体 的 共享 ; 阻止 非 授权 用 
户 读 取 敏 感 信息 ， 并 控制 访问 权限 扩散 。 

自主 访问 控制 机 制 根据 用 户 指定 的 方式 或 默认 方式 ， 阻 止 非 授权 用 户 访问 客体 。 访 问 控 
制 的 粒度 是 单个 用 户 。 访 问 控制 能 够 为 每 个 命名 客体 指定 命名 用 户 和 用 户 组 ， 并 规定 他 们 对 
客体 的 访问 模式 。 没 有 存 取 权 的 用 户 只 允许 由 授权 用 户 指定 对 客体 的 访问 权 。 

2) 强制 访问 控制 

计算 机 信息 系统 可 信 计 算 机 对 外 部 主体 能 够 直接 或 间接 访问 的 所 有 资源 实施 强制 访问 
控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ， 这 些 标 记 是 等 级 分 类 和 非 等 级 类 别 的 组 合 ， 它 们 是 
实施 强制 访问 控制 的 依据 。 计 算 机 信息 系统 可 信 计 算 机 支持 两 种 或 两 种 以 上 成 分 组 成 的 安 
全 级 。 

3) 标记 

计算 机 信息 系统 可 信 计 算 机 维护 与 可 被 外 部 主体 直接 或 间接 访问 到 的 计算 机 信息 系统 
资源 (例如 : 主体 、 存 储 客体 、 只 读 存 储 器 ) 相 关 的 敏感 标记 。 这 些 标记 是 实施 强制 访问 的 基 
础 。 为 了 输入 未 加 安全 标记 的 数据 ， 计 算 机 信息 系统 可 信 计 算 机 向 授权 用 户 要 求 并 接受 这 些 
数据 的 安全 级 别 ， 且 可 由 计算 机 信息 系统 可 信 计 算 机 审计 。 

4) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 机 初始 执行 时 ， 首 先 要 求 用 户 标识 自己 的 身份 ， 而 且 ， 计 算 机 
信息 系统 可 信 计 算 机 维护 用 户 身 份 识别 数据 并 确定 用 户 访 问 权 及 授权 数据 。 计 算 机 信息 系统 
可 信 计 算 机 使 用 这 些 数据 ， 鉴 别 用 户 身份 ， 并 使 用 保护 机 制 (例如 : 口令 ) 来 鉴别 用 户 的 身份 ; 
阻止 非 授权 用 户 访问 用 户 身份 鉴别 数据 。 通 过 为 用 户 提供 唯一 标识 ， 计 算 机 信息 系统 可 信 计 
算 机 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 机 还 具备 将 身份 标识 与 该 用 户 
所 有 可 审计 行为 相关 联 的 能 力 。 

5) 客体 重用 

在 计算 机 信息 系统 可 信 计 算 机 的 空闲 存储 客体 空间 中 ， 对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ， 撤 销 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访问 权 
时 ， 当 前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

6) 审计 

计算 机 信息 系统 可 信 计 算 机 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ， 并 能 阻止 非 
授权 的 用 户 对 它 访问 或 破坏 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 机 独立 分 辩 的 审计 事件 ， 审 计 机 制 提 供 的 审计 记录 接 
口 ， 可 由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 机 独立 分 辨 的 审计 记 
录 。 计 算 机 信息 系统 可 信 计 算 机 能 够 审计 利用 隐蔽 存储 信道 时 可 能 被 使 用 的 事件 。 
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7) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 机 通过 自主 和 强制 完整 性 策略 ， 阻 止 非 授权 用 户 修改 或 破坏 敏 
感 信息 。 在 网 络 环境 中 ， 使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 受 损 。 

8) 隐蔽 信道 分 析 

系统 开发 者 应 彻底 搜索 隐蔽 存储 信道 ， 并 根据 实际 测量 或 工程 估算 确定 每 一 个 被 标识 信 
道 的 最 大 带宽 。 

9) 可 信 路 径 

对 用 户 的 初始 登录 和 鉴别 ， 计 算 机 信息 系统 可 信 计 算 机 在 它 与 用 户 之 间 提 供 可 信 通 信 路 
径 。 该 路 径 上 的 通信 只 能 由 该 用 户 或 计算 机 信息 系统 可 信 计 算 机 激活 ， 且 在 罗 辑 上 与 其 他 路 
径 上 的 通信 相隔 离 ， 并 能 正确 加 以 区 分 。 

10) 可 信 恢 复 

计算 机 信息 系统 可 信 计 算 机 提供 过 程 和 机 制 ， 保 证 计算 机 信息 系统 失效 或 中 断后 ， 可 以 
进行 不 损害 任何 安全 保护 性 能 的 恢复 。 

公安 部 负责 人 表示 ， 实 行 安全 等 级 保护 制度 后 ， 将 有 利于 提高 公安 机 关 对 计算 机 网 络 信 
息 系 统 安全 保护 的 监督 管理 水 平 。 有 关 网 络 安全 管理 方面 的 内 容 ， 我 们 将 在 后 面 的 章节 里 详 
细 探 讨 。 


本 章 小 结 


从 20 世纪 80 年 代 早 期 开始 ， 国 际 计 算 机 安全 组 织 就 开始 了 开发 开 产品 和 系统 的 安全 
评估 方法 和 标准 。 第 一 个 被 广泛 使 用 的 著名 的 评估 标准 是 《可 信 计 算 机 系统 评估 准则 》 
(TCSEC)， 尽 管 它 被 广泛 使 用 了 近 20 年 ， 但 是 它 存在 一 些 缺 陷 ， 如 局 限 性 、 评 估 过 程 问 题 、 
安全 保障 和 功能 的 绑 定 、 评 估 结 果 缺 乏 国际 通用 性 、 选 择 需 求 的 不 灵活 性 等 。 为 了 解决 这 些 
问题 ， 各 国安 全 组 织 了 研究 人 员 不 断 开发 新 的 评估 标准 和 方法 。 在 这 些 新 的 方法 中 ， 最 车 名 
的 是 欧洲 的 信息 技术 安全 评估 标准 GTSEC)、 加 拿 大 的 可 信 计 算 机 产品 评估 标准 (CTCPEC) 以 
及 美国 的 联邦 标准 GCC， 这 些 方法 的 出 现 促使 了 当前 得 到 全 球 支 持 的 通用 标准 CC 的 形成 。 

本 章 讲述 了 信息 安全 评估 相关 的 内 容 ， 包 括 : 评估 的 步 又， 需要 重点 考虑 的 因素 ， 评 估 
的 分 类 ， 国 际 系统 安全 评估 标准 ， 包 括 著名 的 桶 皮 书 TCSEC、ITSEC、CTCPEC、FC、 国 际 
通用 准则 CC 以 及 中 国 公安 部 制定 的 安全 标准 。 和 希望 通过 学 习 可 以 给 读者 对 国际 信息 安全 评 
估 及 相关 标准 有 一 个 清晰 的 、 总 体 的 认识 。 


课 后 练习 


一 、 填 空 题 


村 


1. 评估 的 分 类 可 以 分 成 三 种 ， 它 们 是 ( )、( sl )。 
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2. 风险 评估 的 主要 任务 有 ( be i )、( )、 
六 

3. 两 种 被 安全 标准 广泛 参考 吸收 其 优点 的 标准 ， 是 ( 虹 才 和 

4. 在 TCSEC 中 ，Windows 2003 被 划分 在 ( ) 安 全 级 别 中 ，Unix 属于 
) 安 全 级 别 ，Windows 95 的 安全 级 别 属于 ( ) 级 。 

5. 在 TCSEC 标准 中 ， 安 全 级 别 由 高 到 低 分 别 是 ( )、( )、 
)、( )、( )、( )、( )、( )。 

二 、 选 择 题 


1. TCSEC(Trusted Computer System Evaluation Criteria)， 俗 称 ( )。 


A. 蓝皮书 B. 桶 皮 书 C. 黄皮书 D. 红 宝 书 
2. TCSEC 标准 将 计算 机 系统 的 安全 划分 为 (  ) 个 类 别 ，(  ) 个 级 别 。 
A.4 B.5 C.6 D.8 
3. 下 述 选项 中 ，( ， ) 是 综合 了 TCSEC 和 ITSEC 的 优点 而 制定 的 安全 标准 。 
A.FC B. CC C. CTCPEC D. IPSec 
4. 下 述 安全 标准 中 ，( ””) 是 目前 的 国际 通用 安全 标准 。 
A.FC B.CC C. ITSEC D. TCSEC 
5. 下 列 操作 系统 中 ， 属 于 TCSEC 的 C 类 安全 级 别 的 有 (  ) 
A. Windows 95 B. UNIX C. Windows NT D.Apple Sys7.x 
三 、 简 答题 


1. 安全 进行 评估 的 意义 是 什么 ? 你 认为 评估 的 困难 是 什么 ? 
2. 简 述评 估 的 步骤 和 应 考虑 的 因素 。 

3. 评估 可 以 分 为 哪儿 类 ? 简要 描述 各 类 评估 的 特点 。 

4 

5 


. 简 述 TCSEC 安全 标准 的 主要 内 容 。 
. 简 述 中 国信 息 系统 安全 标准 的 主要 内 容 。 


第 16 章 


计算 机 网 络 安全 管理 


信息 网 络 已 经 成 为 维持 社会 经 济 活动 和 生产 活动 的 主要 基础 资源 ， 成 为 政治 、 经 济 、 文 
化 、 军 事 乃 至 社会 任何 领域 的 基础 。 网 络 安全 管理 是 信息 管理 体系 中 的 一 个 重要 环节 ， 本 章 
将 结合 国内 外 计算 机 网 络 信息 安全 管理 的 现状 ， 讨 论 安全 管理 的 重要 性 ， 介 绍 有 关 网 络 安全 


管理 的 主要 概念 ， 


本 章 重点 

e 概述 

e 安全 管理 标准 
e 安全 立法 


以 及 有 关 安全 管理 标准 和 相关 立法 内 容 。 


16.1 计算 机 网 络 安 全 管理 概述 


所 谓 管理 ， 是 指 在 群体 活动 当中 ， 为 了 完成 一 定 的 任务 ， 实 现 既定 的 目标 ， 针 对 特定 的 
对 象 ， 遵 循 确定 的 原则 ， 按 照 规定 的 程序 ， 运 用 恰当 的 方法 ， 所 进行 的 制订 计划 、 建 立 相 关 
机 构 、 落 实 措施 、 进 行 培 训 、 检 查 效果 和 实施 改进 等 一 系列 活动 。 其 中 ,管理 的 任务 、 目 标 、 
对 象 、 原 则 、 程 序 和 方法 是 管理 策略 的 内 容 ， 一 系列 的 管理 活动 是 在 管理 策略 的 指导 下 进行 
的 。 所 以 ， 首 先 要 明确 管理 策略 ， 然 后 才 是 开展 管理 活动 。 

安全 管理 是 以 管理 对 象 的 安全 为 任务 和 目标 的 管理 。 安 全 管理 的 任务 是 保证 管理 对 象 的 


安全 。 安 全 管理 的 目标 是 达到 管理 对 象 所 需 
的 安全 级 别 , 将 风险 控制 在 可 以 接受 的 程度 。 

网 络 信息 安全 管理 作为 企业 或 组 织 完整 
的 信息 管理 体系 中 的 一 个 重要 环节 ， 是 以 网 
络 信息 系统 为 对 象 的 安全 管理 。 对 组 织 的 管 
理 者 来 说 ， 必 须 认识 到 信息 管理 是 一 个 系统 
工程 ， 它 需要 对 信息 系统 的 各 个 环节 进行 统 
一 的 综合 考虑 、 规 划 和 架构 ， 并 要 兼顾 组 织 
内 外 不 断 发 生 的 变化 ， 任 何 环节 上 的 安全 朴 
忽 都 会 对 系统 构成 威胁 。 


信息 安全 管理 


图 16-1 管理 、 安 全 管理 、 网 络 信息 安全 管理 的 关系 


图 16-1 描述 了 管理 、 安 全 管理 和 网 络 信息 安全 管理 的 关系 。 
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16.1.1 ”网络 安全 管理 的 重要 性 


对 网 络 信息 系统 不 断 增强 的 依赖 性 使 得 信息 技术 在 提供 工作 效率 的 同时 ， 也 增 大 了 重 
的 信息 受到 非法 侵扰 和 破坏 的 可 能 性 ， 严 重 的 还 会 面临 资产 损失 、 服 务 中 断 的 情况 。 当 今 的 
网 络 信息 系统 既 面临 着 计算 机 欺诈 、 商 业 情报 欠 取 、 阴 谋 破坏 、 天 灾 人 祸 等 安全 威胁 ， 又 面 
临 着 像 计算 机 病毒 、 黑 客 非法 入 侵 攻 击 等 破坏 , 而 且 随 着 信息 技术 的 迅速 发 展 和 应 用 的 深入 ， 
各 种 安全 问题 也 变 得 越 来 越 错综复杂 。 

自 1987 年 以 来 ， 全 世界 已 经 发 现 超 过 50 000 种 计算 机 病毒 ，1999 年 4 月 26 日 ， 中 国 
台湾 散布 出 来 的 CIH 病毒 大 爆发 , 据 不 完全 统计 大 陆 受 其 影响 的 PC 总 数 达 36 万 台 之 多 ;2000 
年 5 月 爆发 的 “ 爱 虫 ”病毒 给 全 球 用 户 造成 了 数 以 100 亿美 元 计 的 损失 。 据 2002 年 统计 ， 黑 
客 事件 平均 每 天 发 生 614 次 。Intemet 上 已 经 有 几 万 个 黑客 网 站 ， 并 且 技 术 不 断 更 新 ， 各 种 攻 
击 手段 达到 上 千 种 之 多 。 即 便 是 戒备 森严 的 美国 国防 部 信息 系统 也 遭受 过 几 十 万 次 的 黑客 攻 
击 ， 且 成 功率 高 达 惊人 的 63%。 历史 上 还 有 一 些 悬 而 未 决 的 网 络 犯罪 悬案 ,至今 尚 无 法 侦破 ， 
具体 情况 见 第 2 章 的 相关 内 容 。 

然而 ， 对 计算 机 网 络 系统 造成 最 大 损失 的 风险 主要 还 是 来 自 于 内 部 ， 国 际 上 统计 结果 表 
明 ， 企 业 信息 受到 的 损失 中 ，70% 是 由 于 内 部 员工 的 疏忽 或 有 意 泄露 机 密 造 成 的 。 在 日 益 成 
为 国家 经 济 运作 的 重要 支柱 的 数字 化 、 网 络 化 信息 社会 中 ， 如 果 没 有 信息 安全 ， 国 家 的 经 济 
体制 和 社会 安全 ， 金 融 与 货币 安全 ， 产 业 与 市 场 安全 ， 战 略 物资 与 能 源 安全 ， 对 外 贸易 与 投 
资 安全 就 不 能 得 到 有 效 保障 。 


16.1.2 ”网 络 安全 管理 的 内 容 


信息 网 络 安全 管理 模型 的 设计 ， 并 没有 一 个 严格 统一 的 标准 ， 不 同 领域 不 同时 期 ， 人 们 
对 信息 安全 的 认识 都 不 尽 相 同 ， 对 解决 信息 网 络 安全 问题 的 侧重 点 也 有 所 不 同 。 从 安全 管理 
的 发 展 历程 和 实施 安全 管理 过 程 中 所 使 用 的 方法 上 ， 可 以 分 为 早期 的 静态 的 信息 网 络 安全 管 
理 和 后 期 的 动态 的 信息 安全 管理 。 

1. 静态 的 信息 安全 管理 


早 在 1989 年 , ISO 组 织 就 发 布 了 一 个 IO 7498 一 2 标准 ， 即 《信息 处 理 系统 一 一 开放 系 
统 互 联 》， 这 个 标准 提供 了 安全 服务 与 相关 体制 的 一 般 描述 ， 确 定 在 信息 网 络 安全 管理 中 可 
以 提供 这 些 服务 与 机 制 的 位 置 。 在 其 被 引入 到 中 国之 后 ， 形 成 了 后 来 的 GB/T 9387.2-1995 标 
准 。ISO 7498 一 2 标准 充分 体现 了 早期 的 信息 网 络 时 期 人 们 对 信息 安全 体系 的 关注 焦点 ， 即 
以 防护 技术 为 主 的 、 静 态 的 信息 安全 管理 体系 。 

ISO 7498 一 2 安全 管理 体系 结构 由 5 类 安全 服务 及 用 来 支持 这 些 安全 服务 的 8 种 安全 机 
制 组 成 。 安 全 服务 体现 了 安全 体系 所 包含 的 主要 功能 及 内 容 ， 是 能 够 定位 某 种 威胁 的 安全 措 
施 ， 而 安全 机 制 则 规定 了 与 安全 需求 相对 应 的 可 以 实现 安全 服务 的 技术 手段 。 一 种 安全 服务 
可 以 通过 某 种 安全 机 制 单 独 提供 ， 也 可 以 通过 多 种 安全 机 制 联 合 提供 ;同时 ， 一 种 安全 机 制 
可 以 提供 一 种 或 者 多 种 安全 服务 。 安 全 服务 和 安全 机 制 有 机 结合 、 相 互 交 叉 ， 在 安全 体系 的 
不 同 层次 发 挥 作用 。 除 了 OSI 七 层 协议 中 的 第 五 层 (会 话 层 ) 外 ， 其 他 各 层 都 能 够 提供 相应 的 
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安全 服务 。ISO 7498 一 2 这 种 安全 体系 充分 体现 了 信息 安全 层次 性 和 结构 性 的 特点 。 

ISO 7498 一 2 定义 的 安全 服务 包括 如 下 内 容 。 

e@ 认证 (Authentication 包括 实体 认证 ， 来 源 认 证 ) 

e@ 访问 控制 (Access Control) 

e 数据 保密 性 (Data Confidentiality) 

e 数据 完整 性 (Data Integrity) 

e 抗 抵赖 性 (Non-repudiatiom) 

上 述 安全 服务 可 以 通过 以 下 安全 机 制 来 实现 。 

e 加 密 机 制 (Encipherment) 

e 数字 签名 (Digital Signature) 
访问 控制 机 制 (Access Control Mechanisms) 
认证 交换 (Authenticatin Exchanges) 
业务 流 填 充 (Traffic Padding) 

路 由 控制 Routing Control) 
公证 (Notarisatiom) 

ISO 7498 一 2 安全 体系 结构 师 针对 基于 OSI 参考 模型 的 网 络 通信 系统 ， 它 所 定义 的 安全 
服务 也 只 是 解决 网 络 通信 安全 性 的 技术 措施 ， 其 他 信息 安全 相关 领域 ， 包 括 系统 安全 、 物 理 
安全 、 人 员 安 全 等 方面 都 没有 涉及 。 这 种 体系 关注 的 是 一 种 静态 的 防护 技术 ， 它 并 没有 考虑 
到 信息 安全 动态 性 和 周期 性 的 发 展 特点 ， 缺 乏 检测 、 响 应 和 恢复 这 些 重要 的 环节 ， 因 此 无 法 
满足 日 益 复杂 更 加 全 面 的 信息 安全 保障 的 要 求 ， 从 而 促使 了 新 的 安全 体系 结构 的 诞生 ， 后 续 
出 现 的 PDRR 模型 和 PPDR 等 动态 的 信息 网 络 安全 体系 模型 ， 详 见 第 2 章 的 相关 内 容 ， 在 此 
不 再 次 述 。 

2. 动态 的 信息 安全 管理 


第 2 章 介 绍 过 的 动态 信息 安全 模型 (PPDR) 中 ,安全 管理 是 一 个 动态 的 过 程 ， 在 一 定 的 安 
全 策略 的 原则 下 ， 通 过 安全 防护 PP)、 安 全 检测 (D)、 安 全 响应 R) 等 不 断 循环 的 动态 过 程 ， 使 
安全 防护 得 到 不 断 提高 和 完善 。 

信息 安全 发 展 至 今 ， 人 们 逐渐 已 经 认识 到 了 安全 管理 的 重要 性 。 在 这 方面 ， 英 国 的 BS 
7799 标准 是 一 个 很 好 的 例子 。 与 以 往 的 以 技术 为 主 的 安全 体系 不 同 ，BS 7799 提出 的 PDCA 
信息 安全 管理 模型 是 一 个 系统 化 、 程 序 化 和 文档 化 的 管理 体系 。 这 其 中 ， 技 术 措施 只 是 作为 
依据 安全 需求 有 选择 有 侧重 地 实现 安全 目标 的 手段 而 已 。 

BS 7799 一 2 所 采用 的 过 程 模式 如 图 16-2 所 示 ，“ 计 划一 实施 一 检查 一 行动 ”这 四 个 步 

贯穿 整个 过 程 。 与 前 面 介 绍 过 的 PDRR 和 PPDR 类 似 ，PDCA 四 个 英文 字母 分 别 表 示 在 

PDCA 循环 过 程 中 所 代表 的 四 个 步骤 的 英文 首 字 母 如 下 。 

e PClan): 计划 ， 确 定 方针 和 目标 ， 确 定 活动 计划 。 

e D(Do): 实施 ， 实 现 计 划 中 的 任务 。 

e C(Check): 检查 ， 总 结 执行 计划 的 结果 ， 注 意 效 果 ， 找 出 问题 。 
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e A(Action): 行动 ， 对 总 结 检查 的 结果 进行 处 理 ， 成 功 的 经 验 加 以 肯定 并 适当 推广 ， 
将 其 标准 化 ; 失败 的 教训 加 以 总 结 ,避免 重 犯 ; 未 解决 的 问题 放 到 下 一 个 PDCA 循环 。 


Hye 上 
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/ TN \ 

// \\ 
| .、 | 4 、 
, 

行动 (A) A 策略 指导 [一 一) 实施 D) | 

\ \ | y / 

Se 一 一 De = 
一 检查 C) [一 


图 i PDCA 过 程 模式 
这 四 个 阶段 的 具体 内 容 如 下 。 
1) 计划 阶段 
本 阶段 的 主要 任务 是 根据 风险 评估 、 法 律 法 规 要 求 、 组 织 业务 运营 自身 要 求 来 确定 控制 


目标 和 控制 方式 。 为 了 确保 正确 建立 信息 安全 管理 体系 的 范围 和 内 容 ， 识 别 并 评估 所 有 的 信 
息 安 全 风险 ， 为 这 些 风险 制订 适当 的 处 理 计 划 。 策 划 阶 段 的 所 有 重要 活动 都 要 被 文件 化 ， 以 


备 将 


施 所 


安全 


来 追溯 和 控制 更 改 记录 。 在 计划 阶段 需要 完成 以 下 几 个 工作 。 

e 确定 信息 安全 方针 。 

e 确定 信息 安全 管理 系统 的 范围 。 

e 制订 风险 识别 和 评估 计划 。 

e 制订 风险 控制 计划 。 

2) 实施 阶段 

这 个 阶段 的 主要 任务 是 实施 组 织 所 选择 的 控制 目标 与 控制 措施 ， 具 体 有 以 下 工作 。 

(1) 风险 治理 

对 被 评估 认为 是 可 接受 的 风险 ， 不 需要 采取 进一步 的 措施 ， 对 于 不 可 接受 风险 ， 需 要 实 
选择 的 控制 或 转移 ， 这 应 该 与 计划 阶段 中 准备 的 风险 处 理 计划 同步 进行 。 

(2) 保证 资源 、 提 供 培训 、 提 高 安全 意识 

这 个 阶段 需要 分 配 适 当 的 资源 (人 员 、 时 间 和 资金 )， 运 行 信息 安全 管理 体系 以 及 所 有 的 
控制 。 

提高 信息 安全 意识 的 目的 就 是 产生 适当 的 风险 和 安全 文化 ， 保 证 意识 和 控制 活动 的 同 


步 ， 还 必须 安排 针对 信息 安全 意识 的 培训 ， 并 检查 意识 培训 的 效果 ， 以 确保 其 持续 有 效 和 实 
时 性 。 


法 律 


3) 检查 阶段 
检查 阶段 是 PDCA 循环 的 关键 阶段 。 本 阶段 的 主要 任务 是 进行 有 关 方 针 、 程 序 、 标 准 与 
法 规 的 检查 ， 目 的 是 保证 控制 措施 有 效 进行 。 
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4 行动 阶段 

本 阶段 的 主要 任务 是 对 信息 安全 管理 体系 进行 评价 , 寻求 改进 的 机 会 , 采取 相应 的 措施 。 
为 了 使 信息 安全 管理 体系 持续 有 效 ， 应 以 检查 阶段 采集 的 不 符合 项 信息 为 基础 ， 经 常 进行 调 
整 与 改进 。 对 信息 安全 管理 体系 所 做 的 改变 或 下 一 步行 动 计划 , 要 及 时 通知 所 有 的 相关 部 门 ， 


并 提供 


相应 的 培训 。 


16.1.3 网络 安 全 管理 的 原则 

网 络 安全 管理 的 原则 是 一 组 规则 ， 定 义 了 一 个 组 织 要 实现 的 安全 目标 和 实现 这 些 安全 目 
标的 途径 。 信 息 安全 管理 的 内 容 应 该 有 别 于 技术 方案 ， 信 息 安 全 原则 只 是 描述 一 个 组 织 保证 
信息 安全 的 途径 的 指导 性 纲领 ， 它 不 涉及 具体 做 什么 和 如 何 做 的 问题 ， 只 指出 要 完成 的 目标 


任务 。 


原则 性 的 规则 不 涉及 具体 实现 细节 ， 对 于 整个 组 织 提供 全 局 性 指导 ， 为 具体 的 安全 措 


施 和 规定 提供 一 个 全 局 性 的 框架 。 
常用 的 信息 网 络 安全 管理 原则 有 如 下 儿 种 。 


加 密 原则 一 一 描述 组 织 对 数据 加 密 的 安全 要 求 。 

使 用 原则 一 一 描述 设备 使 用 、 计 算 机 服务 使 用 和 雇员 安全 规定 ， 以 保护 组 织 的 信息 
和 资源 安全 。 

线路 连接 原则 一 一 描述 诸如 传真 发 送 和 接收 、 模 拟 线路 与 计算 机 连接 、 拨 号 连接 等 
安全 要 求 。 

反 病 毒 原则 一 给 出 有 效 减少 病毒 对 组 织 的 威胁 的 一 些 指导 方针 , 明确 在 哪些 环节 
必须 进行 病毒 检测 。 

应 用 服务 提供 原则 一 一 定义 应 用 服务 提供 者 必须 遵守 的 安全 方针 。 

审计 原则 一 一 描述 信息 审计 要 求 ， 包 括 审计 小 组 的 组 成 、 权 限 、 事 故 调查 、 安 全 风 
险 评 估 、 信 息 安全 符合 程度 评价 、 对 用 户 和 系统 活动 进行 监控 等 活动 的 要 求 。 
电子 邮件 使 用 原则 一 一 描述 组 织 内 部 和 外 部 电子 邮件 接收 、 传 递 的 安全 要 求 。 
数据 库 原则 一 一 描述 存储 、 检 索 、 更 新 等 管理 数据 库 数据 的 安全 要 求 。 

非 武 装 区 域 原则 一 一 定义 位 于 “ 非 军事 区 域 ”的 设备 和 网 络 分 区 。 

第 三 方 的 连接 原则 一 一 定义 第 三 方 接 入 的 安全 要 求 。 

敏感 信息 原则 一 一 描述 组 织 的 机 密 信息 分 级 ， 按 照 它 们 的 敏感 程度 描述 安全 要 求 。 
内 部 活动 原则 一 一 描述 组 织 内 部 的 各 种 活动 安全 要 求 , 使 组 织 的 产品 服务 和 利益 受 
到 充分 保护 。 

Intemet 接 入 原则 一 一 定义 在 组 织 防火 墙 之 外 的 设备 和 操作 的 安全 要 求 。 

口令 防护 原则 一 一 定义 创建 、 保 护 和 改变 口令 的 要 求 。 

远程 访问 原则 一 一 定义 从 外 部 主机 或 网 络 连接 到 组 织 的 网 络 进行 外 部 访问 的 安全 
要 求 。 

路 由 器 安全 原则 一 一 定义 组 织 内 部 路 由 器 和 交换 机 的 最 低 安全 配置 。 
服务 器 安全 原则 一 一 定义 组 织 内 部 服务 器 的 最 低 安全 配置 。 
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e VPN 安全 原则 一 一 定义 通过 VPN 接 入 的 安全 要 求 。 
e 无 线 通 讯 原 则 一 一 定义 无 线 系统 接 入 的 安全 要 求 。 


16.2 安全 管理 标准 


发 达 国家 非常 重视 制订 信息 安全 发 展 战略 和 计划 ， 美 、 俄 、 日 国家 都 已 经 或 者 已 经 制订 
出 自己 的 信息 安全 发 展 战略 和 发 展 计划 ,确保 信息 安全 沿 着 正确 的 方向 发 展 。2000 年 初 ， 美 
国 出 台 了 电脑 空间 安全 计划 ， 旨 在 加 强 关 键 基础 设施 、 计 算 机 系统 和 网 络 免 受 威胁 的 防御 能 
力 。2000 年 9 月 12 日 ， 俄 罗斯 批准 了 《国家 信息 安全 构想 》， 明 确保 护 信息 安全 应 采取 的 
措施 。 我 国 还 没有 制定 国家 级 别 的 信息 安全 战略 ， 但 是 在 “十 五 ”规划 中 已 经 提 及 。 另 外 ， 
在 我 国 2001 年 度 的 《高 科技 研究 发 展 计 划 》 中 提出 了 信息 安全 的 科研 攻关 课题 。“863” 计 
划 信息 安全 技术 发 展 战略 研究 专家 制订 了 《信息 安全 技术 应 急 计划 》。 

目前 国际 上 制定 了 大 量 的 有 关 信 息 安全 的 国际 标准 ， 主 要 可 分 为 互 操 作 标 准 、 技 术 与 工 
程 标准 、 信 息 安 全 管理 与 控制 标准 。 

常见 的 信息 管理 与 控制 标准 有 以 下 儿 个 。 

1. 信息 安全 管理 标准 (ISO/IEC 13335) 


《IT 安全 管理 方针 》 系 列 已 经 在 国际 社会 中 开发 了 很 多 年 。 几 个 组 成 部 分 分 别 为 : 
ISO/EC13335-1: 1996《IT 安全 的 概念 与 模型 》、ISO/EC13335-2: 1997《IT 安全 管理 和 计 
划 制 定 》、ISO/AEC13335-3: 1998 《IT 安全 管理 技术 》、ISO/IEC13335-4: 2000《 安 全 措施 
的 选择 》、ISO/IEC13335-5: 《网 络 安全 管理 方针 》。 


2. 信息 安全 管理 体系 标准 (BS7799， 其 中 一 部 分 成 为 ISO/IEC 17799) 


BS 一 7799 是 由 英国 标准 协会 (British Standards Institution, 简称 BSD 制定 的 信息 安全 管理 
体系 标准 ，BS 一 7799 为 保障 信息 的 机 密 性 、 完 整 性 和 可 用 性 提供 了 典范 。 它 包括 两 部 分 ， 其 
中 第 一 部 分 《信息 安全 管理 实施 规则 》 于 2000 年 12 月 被 国际 化 标准 组 织 GSO) 纳 入 世界 标准 ， 
编号 为 ISO/EC 17799。BS 一 7799 广泛 地 歼 盖 了 所 有 的 信息 安全 议题 ， 如 安全 方针 的 制定 、 
安全 责任 的 归属 、 风 险 的 评估 、 定 义 与 强化 安全 参数 及 访问 控制 ， 甚 至 包含 防 病毒 的 相关 策 
略 等 。BS 一 7799 已 经 成 为 国际 公认 的 信息 安全 实施 标准 ， 适 用 于 各 种 产业 与 组 织 。 


16.2.1 ISO 27000 


ISO 为 信息 安全 管理 体系 标准 预 留 了 ISO/EC 27000 系列 编号 ， 类 似 于 质量 管理 体系 的 
IS 9000 系列 和 环境 管理 体系 的 ISO 14000 系列 标准 。 

言 息 安全 管理 体系 (Information security management systems, 简称 ISMS, 妈 ISO/TEC27000 
系列 ) 是 目前 国际 信息 安全 管理 标准 研究 的 重点 。ISO 27000 系列 共 包 括 10 个 标准 ， 当 前 已 
经 发 布 和 在 研究 的 有 6 个 ， 分 别 如 下 。 

(1) ISO27000 原理 与 术语 PrinciplesandVocabulary。 
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(2) ISO27001 信息 安全 管理 体系 一 一 要 求 ISMS Requirements( 以 BS7799 一 2 为 基础 )。 

(3) ISO27002 信息 技术 安全 技术 信息 安全 管理 实践 规范 ISO/AEC17799: 2005)。 

(4) ISO27003 信息 安全 管理 体系 一 一 风险 管理 ISMSRisk Management。 

(5) ISO27004 信息 安全 管理 体系 一 一 指标 与 测量 ISMSMetricsand Measurement。 

(6) ISO27005 信息 安全 管理 体系 一 一 实施 指南 ISMSImplementation Guidelines。 

ISO 27000 标准 对 应 用 于 信息 安全 管理 体系 的 ISO/TEC 27000 系列 标准 的 概况 、 状 态 和 关 
系 提供 说 明 ， 并 规定 了 与 ISO/EC 27000 ISMS 系列 标准 相关 的 术语 。ISO/TEC 27000 标准 有 
三 个 章节 ， 第 一 章 是 标准 的 范围 说 明 ， 第 二 章 对 ISO 27000 系列 的 各 个 标准 进行 了 介绍 ， 说 
明了 各 个 标准 之 间 的 关系 ,包括 ISO 27000、ISO 27001、ISO 27002、ISO 27003、ISO 27004、 
ISO 27005、ISO 27006。 第 三 章 给 出 了 与 ISO 27000 系列 标准 相关 的 术语 和 定义 ， 共 63 个 。 


16.2.2 1SO 27001 


ISO 27001 是 ISO 27000 系列 的 主 标准 ， 类 似 于 ISO 9000 系列 中 的 ISO 9001， 各 类 组 织 
可 以 按照 ISO 27001 的 要 求 建立 自己 的 信息 安全 管理 体系 ISMS)， 并 通过 认证 。 该 标准 源 于 
BS 7799 一 2， 主 要 提出 ISMS 的 基本 要 求 ， 已 于 2005 年 10 月 正式 发 布 。 在 正式 版 发 布 之 前 
一 段 时 期 ， 有 效 的 标准 是 BS7799 一 2: 2002。 当 ISO 27001 正式 发 布 后 ，BS 7799 一 2: 2002 
被 撤销 。 

ISO 27001 用 于 为 建立 、 实 施 、 运 行 、 监 视 、 评 审 、 保 持 和 改进 信息 安全 管理 体系 
(Information Security Management System，ISMS) 提 供 模型 。 采 用 ISMS 应 当 是 一 个 组 织 的 一 
项 战略 性 决策 。 一 个 组 织 的 ISMS 的 设计 和 实施 受 业 务 需 求 和 目标 、 安 全 需求 、 所 采用 的 过 
坚 以 及 组 织 的 规模 和 结构 的 影响 。 上 述 因 素 及 其 支持 过 程 会 不 断 发 生变 化 。 期 望 信息 安全 管 
理 体系 可 以 根据 组 织 的 需求 而 测量 ,例如 简单 的 情形 可 采用 简单 的 ISMS 解决 方案 ,ISO 27001 
标准 可 以 作为 评估 组 织 满足 顾客 、 组 织 本 身 及 法 律 法 规 的 信息 安全 要 求 的 能 力 的 依据 ， 无 论 
是 组 织 自 我 评估 还 是 评估 供 方 能 力 ， 都 可 以 采用 ， 也 可 以 用 作 独 立 第 三 方 认证 的 依据 。 
16.2.3 1SO 27002 


ISO 27002 标准 取代 ISO MEC 27002: 2005 ， 直 接 由 ISO/AEC 27002: 2005 更 改 标准 编 
号 为 ISO/IEC 27002。 

ISO 27002 标准 为 在 组 织 内 启动 、 实 施 、 保 持 和 改进 信息 安全 管理 提供 指南 和 通用 的 原 
则 。ISO 27002 标准 概述 的 目标 提供 了 有 关 信 息 安全 管理 通常 公认 的 目标 的 通用 指南 。 标 准 
的 控制 目标 和 控制 措施 预期 被 实施 以 满足 由 风险 评估 所 识别 的 要 求 。 此 标准 可 以 作为 一 个 实 
践 指南 服务 于 开发 组 织 的 安全 标准 和 有 效 的 安全 管理 实践 , 帮助 构建 组 织 间 活动 的 信心 ISO 
27002 标准 包含 的 实施 规则 可 以 认为 是 开发 组 织 具 体 指南 的 起 点 。 实 施 规则 中 的 控制 和 指导 
并 不 全 都 是 适用 的 。 而 且 ， 可 能 需要 本 标准 中 未 包括 的 附加 控制 和 指南 。 当 开发 包括 附加 控 
制 和 指南 的 文件 时 ， 包 括 对 该 标准 适用 的 条 款 进行 交叉 引用 可 能 是 有 用 的 ， 该 交叉 引用 便于 
审核 员 和 商业 伙伴 进行 符合 性 核查 。 
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16.3 安全 立法 


网 络 犯罪 对 法 学 研究 产生 了 深远 影响 ， 它 不 仅仅 对 法 学 理论 和 现行 法 律 体系 、 法 律 规定 
带 来 了 冲击 也 为 法 学 理论 的 全 球 化 和 法 律 规定 的 趋同 及 司法 协助 带 来 了 新 的 契机 。 

网 络 立 法 是 建立 和 完善 法 律 体系 的 需要 ， 是 调整 网 络 犯罪 所 引起 的 社会 冲突 问题 的 需 
要 ， 是 保障 网 络 健康 发 展 的 需要 ， 是 使 人 们 懂得 维护 自己 权益 、 同 网 络 犯罪 作 斗 争 的 需要 ， 
也 是 教育 人 守法 、 预 防 犯罪 的 需要 。 


16.3.1 国际 安全 法 律 法 规 


以 法 律 的 形式 制定 和 规范 信息 安全 工作 ， 是 有 效 实施 安全 措施 的 最 有 力 保证 。 制 定 网 络 
信息 安全 规则 的 开路 先锋 是 各 大 门户 网 站 ， 美 国 的 雅虎 和 美国 在 线 等 网 站 都 在 实践 中 形成 了 
一 套 自己 的 信息 安全 管理 方法 ,美国 和 欧洲 共同 体 是 计算 机 网 络 安全 比较 完善 的 国家 和 组 织 ， 
一 些 发 展 中 国家 和 第 三 世界 国家 的 计算 机 网 络 安全 方面 的 法 规 还 不 够 健全 。 

2000 年 10 月 1 日 ， 美 国电 子 签名 法 正式 生效 。2000 年 10 月 5 日 ， 美 国 参议 院 通过 了 
《互联 网 网 络 完备 性 及 关键 设备 保护 法 案 》。2000 年 9 月 ， 俄 罗斯 实施 了 关于 网 络 信息 安全 
的 法 律 。 欧 洲 共 同体 是 一 个 在 欧洲 范围 内 具有 较 强 影响 力 的 政府 间 组 织 。 为 在 共同 体内 正常 
地 进行 信息 市 场 运作 ,该 组 织 在 诸多 问题 上 建立 了 一 系列 的 法 律 ， 具 体 包括 : 《竞争 ( 反 托 拉 
斯 ) 法 )》 、《 产 品 责任 、 商 标 和 广告 规定 法 》、《 知 识 产权 保护 法 》、《 保 护 软件 、 数 据 和 多 
媒体 产品 及 在 线 版 权 法 》 以 及 《数据 保护 法 》、《 跨 境 电子 贸易 法 》、《 税 收 法 》、《 司 法 》 
等 。 这 些 法 律 若 与 其 成 员 国 原 有 国家 法 律 相 矛盾 ， 则 必须 以 共同 体 的 法 律 为 准 。 可 见 ， 欧 洲 
共同 体制 定 的 法 律 效用 凌驾 于 成 员 国 各 自 的 原 有 法 律 之 上 。 

互联 网 上 的 犯罪 现象 有 一 个 突出 的 特点 就 是 它 的 国际 化 ， 网 络 犯罪 是 一 种 国际 化 的 犯 
罪 ， 它 危害 到 了 整个 世界 的 网 络 安全 。 因 此 世界 各 国 应 该 联合 起 来 进行 广泛 的 合作 和 研讨 ， 
像 打击 国际 恐怖 组 织 一 样 打击 网 络 犯罪 。 一 方面 ， 国 际 社会 已 经 制定 了 相应 的 制裁 网 络 犯罪 
的 国际 公约 ， 世 界 各 发 达 国 家 也 已 经 制定 了 各 国 的 反 网 络 犯罪 的 法 律 。 另 一 方面 ， 许 多 发 展 
中 国家 却 因为 网 络 的 不 普及 ， 而 忽视 了 相关 方面 的 法 律 的 制定 。 这 一 状况 给 予 网 络 罪犯 生存 
的 空间 。 只 有 全 世界 都 行动 起 来 , 让 各 国法 律 相互 接轨 ,形成 一 个 严密 的 国际 法 律 合作 体系 ， 
才能 有 效 地 打击 国际 网 络 犯 罪 。 因 此 ， 我 国 从 一 开始 制定 相关 的 网 络 安 全 立法 ， 就 注重 与 国 
际 法 律 体系 和 惯例 接轨 ， 以 避免 在 实际 运用 中 所 产生 的 国际 摩擦 和 冲突 。 


16.3.2 ”国内 安全 法 律 法 规 


1994 年 2 月 18 日， 中 华人 民 共和国 国 务 院 令 147 号 发 布 《 中 华人 民 共 和 国 计 算 机 信息 
系统 安全 保护 条 例 》。 随 后 陆续 出 台 了 一 些 关 于 计算 机 系统 和 网 络 的 行政 法 规 ，1997 年 12 
月 11 日 国务 院 批准 1997 年 12 月 30 日 公安 部 发 布 了 《计算 机 信息 网 络 国际 联网 安全 保护 管 
理 办 法 》， 同 年 在 新 修订 的 《刑法 》 中 ， 新 增 了 一 些 条 款 ， 直 接 规定 了 信息 安全 犯罪 的 问题 。 
2001 年 , 九 届 全 国人 大 通过 了 《全 国人 民 代表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 》， 
并 已 开始 起 草 《计算 机 网 络 与 信息 安全 管理 条 例 》 等 行政 法 规 。 截止 到 2002 年 , 我 国正 式 颁 
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布 的 信息 安全 相关 国家 标准 已 达 几 十 项 ， 其 中 包括 《中 华人 民 共 和 国安 全 法 》、《 中 华人 民 
和 国保 守 国 家 秘密 法 》、《 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》、《 中 华人 民 
和 国 商 用 密码 保护 条 例 》 等 。 国 家 公安 部 、 国 家 安全 部 、 国 家 保密 局 、 国 家 密码 管理 委员 
等 相继 制定 、 颁 布 了 一 批 信息 安全 的 行业 标准 。 

1. 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 


《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 的 内 容 如 下 。 

1) 总 则 

(1) 为 了 保护 计算 机 信息 系统 的 安全 ， 促 进 计算 机 的 应 用 和 发 展 ， 保 障 社会 主义 现代 化 
建设 的 顺利 进行 ， 制 定 本 条 例 。 

(2) 本 条 例 所 称 的 计算 机 信息 系统 ， 是 指 由 计算 机 及 其 相关 的 和 配套 的 设备 、 设 施 ( 含 网 
络 ) 构 成 的 ， 按 照 一 定 的 应 用 目标 和 规则 对 信息 进行 采集 、 加 工 、 存 储 、 传 输 、 检 索 等 处 理 的 
人 机 系统 。 

(3) 计算 机 信息 系统 的 安全 保护 应 当 保障 计算 机 及 其 相关 的 和 配套 的 设备 、 设 施 ( 含 网 
络 ) 的 安全 ， 运 行 环境 的 安全 ， 保 障 信息 的 安全 ， 保 障 计算 机 功能 的 正常 发 挥 ， 以 维护 计算 机 
信息 系统 的 安全 运行 。 

(4) 计算 机 信息 系统 的 安全 保护 工作 ， 重 点 维护 国家 事务 、 经 济 建设 、 国 防 建 设 、 尖 端 
科学 技术 等 重要 领域 的 计算 机 信息 系统 的 安全 。 

(5) 中 华人 民 共 和 国境 内 的 计算 机 信息 系统 的 安全 保护 ， 适 用 本 条 例 。 未 联网 的 微型 计 
算 机 的 安全 保护 办 法 ， 另 行 制定 。 

(6) 公安 部 主管 全 国 计 算 机 信息 系统 安全 保护 工作 。 

国家 安全 部 、 国 家 保密 局 和 国务 院 其 他 有 关 部 门 ， 在 国务 院 规定 的 职责 范围 内 做 好 计算 
机 信息 系统 安全 保护 的 有 关 工 作 。 

(7) 任何 组 织 或 者 个 人 ， 不 得 利用 计算 机 信息 系统 从 事 危害 国家 利益 、 集 体 利益 和 公民 
合法 利益 的 活动 ， 不 得 危害 计算 机 信息 系统 的 安全 。 

2) 安全 保护 制度 

(1) 计算 机 信息 系统 的 建设 和 应 用 ， 应 当 遵守 法 律 、 行 政法 规 和 国家 其 他 有 关 规 定 。 

(2) 计算 机 信息 系统 实行 安全 等 级 保护 。 安 全 等 级 的 划分 标准 和 安全 等 级 保护 的 具体 办 
法 ， 由 公安 部 会 同 有 关 部 门 制定 。 

(3) 计算 机 机 房 应 当 符合 国家 标准 和 国家 有 关 规 定 。 在 计算 机 机 房 附 近 施 工 ， 不 得 危害 
计算 机 信息 系统 的 安全 。 

(4) 进行 国际 联网 的 计算 机 信息 系统 ， 由 计算 机 信息 系统 的 使 用 单位 报 省 级 以 上 人 民政 
府 公安 机 关 备 案 。 

(5) 运输 、 携 带 、 邮 寄 计 算 机 信息 媒体 进出 境 的 ， 应 当 如 实 向 海关 申报 。 

(6) 计算 机 信息 系统 的 使 用 单位 应 当 建 立 健全 安全 管理 制度 ， 负 责 本 单位 计算 机 信息 系 
统 的 安全 保护 工作 。 

(7) 对 计算 机 信息 系统 中 发 生 的 案件 , 有 关 使 用 单位 应 当 在 24 小 时 内 向 当地 县 级 以 上 人 
民政 府 公 安 机 关 报告 。 
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(8) 对 计算 机 病毒 和 危害 社会 公共 安全 的 其 他 有 害 数据 的 防治 研究 工作 ， 由 公安 部 归 


| 


理 
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(9) 国家 对 计算 机 信息 系统 安全 专用 产品 的 销售 实行 许可 证 制度 。 有 具体 办 法 由 公安 部 会 
同 有 关 部 门 制定 。 

3) 安全 监督 

(1) 公安 机 关 对 计算 机 信息 系统 安全 保护 工作 行使 下 列 监督 职权 。 

e。 监督、 检查、 指导 计算 机 信息 系统 安全 保护 工作 。 

e 查处 危害 计算 机 信息 系统 安全 的 违法 犯罪 案件 。 

e 履行 计算 机 信息 系统 安全 保护 工作 的 其 他 监督 职责 。 

(2) 公安 机 关 发 现 影响 计算 机 信息 系统 安全 的 隐患 时 ， 应 当 及 时 通知 使 用 单位 采取 安全 
保护 措施 。 

(3) 公安 部 在 紧急 情况 下 ， 可 以 就 涉及 计算 机 信息 系统 安全 的 特定 事项 发 布 专 项 通令 。 

4) 法 律 责任 

(1) 违反 本 条 例 的 规定 ， 有 下 列 行为 之 一 的 ， 由 公安 机 关 处 以 警告 或 者 停机 整顿 : 
违反 计算 机 信息 系统 安全 等 级 保护 制度 ， 和 危害 计算 机 信息 系统 安全 的 ; 
违反 计算 机 信息 系统 国际 联网 备案 制度 的 ; 
不 按照 规定 时 间 报告 计算 机 信息 系统 中 发 生 的 案件 的 ; 
接 到 公安 机 关 要 求 改进 安全 状况 的 通知 后 ， 在 限期 内 拒 不 改进 的 ; 

e 有 和 危害 计算 机 信息 系统 安全 的 其 他 行为 的 。 

(2) 计算 机 机 房 不 符合 国家 标准 和 国家 其 他 有 关 规 定 的 ， 或 者 在 计算 机 机 房 附近 施工 危 
害 计算 机 信息 系统 安全 的 ， 由 公安 机 关 会 同 有 关 单 位 进行 处 理 。 

G) 和 运输、 携带、 邮寄 计算 机 信息 媒体 进出 境 ， 不 如 实 向 海关 申报 的 ， 由 海关 依照 《中 
华人 民 共和 国 海关 法 》 和 本 条 例 以 及 其 他 有 关 法 律 、 法 规 的 规定 处 理 。 

(4) 故意 输入 计算 机 病毒 以 及 其 他 有 害 数据 危害 计算 机 信息 系统 安全 的 ， 或 者 未 经 许可 
出 售 计算 机 信息 系统 安全 专用 产品 的 , 由 公安 机 关 处 以 警告 或 者 对 个 人 处 以 5000 元 以 下 的 罚 
款 、 对 单位 处 以 15 000 元 以 下 的 罚款 ; 有 违法 所 得 的 ， 除 予以 没收 外 ， 可 以 处 以 违法 所 得 
至 3 倍 的 罚款 。 

(5) 违反 本 条 例 的 规定 ， 构 成 违反 治安 管理 行为 的 ， 依 照 《 中 华人 民 共 和 国治 安 管理 处 
罚 法 》 的 有 关 规 定 处 罚 ;构成 犯罪 的 ， 依 法 追究 刑事 责任 。 

(6) 任何 组 织 或 者 个 人 违反 本 条 例 的 规定 ， 给 国家 、 集 体 或 者 他 人 财产 造成 损失 的 ， 应 
当 依法 承担 民事 责任 。 

(7) 当事人 对 公安 机 关 依 照 本 条 例 所 作出 的 具体 行政 行为 不 服 的 ， 可 以 依法 申请 行政 复 
议 或 者 提起 行政 诉讼 。 

(8) 执行 本 条 例 的 国家 公务 员 利 用 职权 ， 索 取 、 收 受贿 赂 或 者 有 其 他 违法 、 失 职 行为 ， 
构成 犯罪 的 ， 依 法 追究 刑事 责任 ， 尚 不 构成 犯罪 的 ， 给 予 行政 处 分 。 

5) 附则 

(1) 本 条 例 下 列 用 语 的 含义 : 
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计算 机 病毒 ， 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ， 影 响 
计算 机 使 用 ， 并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 

计算 机 信息 系统 安全 专用 产品 ， 是 指 用 于 保护 计算 机 信息 系统 安全 的 专用 硬件 和 软件 
产品 。 

(2) 军队 的 计算 机 信息 系统 安全 保护 工作 ， 按 照 军 队 的 有 关 法 规 执行 。 

(3) 公安 部 可 以 根据 本 条 例 制定 实施 办 法 。 

(4) 本 办 法 自发 布 之 日 起 施行 。 

2. 计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 


《计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 》 的 具体 条 例如 下 。 
1) 总 则 
(1) 为 了 加 强 对 计算 机 信息 网 络 国际 联网 的 安全 保护 ， 维 护 公 共 秩序 和 社会 稳定 ， 根 据 
《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》、《 中 华人 民 共 和 国 计 算 机 信息 网 络 国际 
联网 管理 暂行 规定 》 和 其 他 法 律 、 行 政法 规 的 规定 ， 制 定 本 办 法 。 
(2) 中 华人 民 共 和 国境 内 的 计算 机 信息 网 络 国 际 联网 安全 保护 管理 ， 适 用 本 办 法 。 
(3) 公安 部 计算 机 管理 监察 机 构 负责 计算 机 信息 国际 联网 的 安全 保管 管理 工作 。 
公安 机 关 计 算 机 管理 监察 机 构 应 当 保 护 计算 机 信息 网 络 国际 联网 的 公共 安全 ， 维 护 从 事 
国际 联网 业务 的 单位 和 个 人 的 合法 权益 和 公众 利益 。 
(4) 任何 单位 和 个 人 不 得 利用 国际 联网 危害 国家 安全 、 泄 露 国家 秘密 ,不 得 侵犯 国家 的 、 
社会 的 、 集 体 的 利益 和 公民 的 合法 权益 ， 不 得 从 事 违法 犯罪 活动 。 
(5) 任何 单位 和 个 人 不 得 利用 国际 联网 制作 、 复 制 、 查 阅 和 传播 下 列 信息 。 
e 煽动 抗拒 、 破 坏 完 法 和 法 律 、 行 政法 规 实施 的 。 
炉 动 颠覆 国家 政权 ， 推 翻 社会 主义 制度 的 。 
煽动 分 裂 国家 、 破 坏 国家 统一 的 。 
煽动 民族 仇恨 、 民 族 歧 视 ， 破 坏 民 族 团结 的 。 
捏造 或 者 牌 曲 事实 ， 散 布 谣言 ， 扰 乱 社 会 秩序 的 。 
e 宣扬 封建 迷信 、 淫 秽 、 色 情 、 赌 博 、 暴 力 、 凶 杀 、 隶 斋 ， 教 唆 犯 罪 。 
e 公然 侮辱 他 人 或 者 捏造 事实 诽谤 他 人 的 。 
e 损害 国家 机 关 信誉 的 。 
e 其 他 违反 宪法 和 法 律 、 行 政法 规 的 。 
(6) 任何 单位 和 个 人 不 得 从 事 下 列 危 害 计 算 机 信息 网 络 安全 的 活动 。 
e 未 经 允许 ， 进 入 计算 机 信息 网 络 或 者 使 用 计算 机 信息 网 络 资源 的 。 
e 未 经 允许 ， 对 计算 机 信息 网 络 功能 进行 删除 、 修 改 或 者 增加 的 。 
e 未 经 允许 ， 对 计算 机 信息 网 络 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 
修改 或 者 增加 的 。 
e 故意 制作 、 传 播 计 算 机 病毒 等 破坏 性 程序 的 。 
e 其 他 危害 计算 机 信息 网 络 安全 的 。 


第 16 章 计算 机 网 络 安全 管理 。335 。 


(7) 用 户 的 通信 自由 和 通信 秘密 受 法 律 保护 。 任 何 单位 和 个 人 不 得 违反 法 律 规定 ， 利 用 
国际 联网 侵犯 用 户 的 通信 自由 和 通信 秘密 。 

2) 安全 保护 责任 

(1) 从 事 国际 联网 业务 的 单位 和 个 人 应 当 接受 公安 机 关 的 安全 监督 、 检 查 和 指导 ， 如 实 
向 公安 机 关 提 供 有 关 安 全 保护 的 信息 、 资 料及 数据 文件 ， 协 助 公安 机 关 查 处 通过 国际 联网 的 
计算 机 信息 网 络 的 违法 犯罪 行为 。 

(2) 国际 出 入 口 信道 提供 单位 、 互 联 单位 的 主管 部 门 或 者 主管 单位 ， 应 当 依 照 法 律 和 国 
家 有 关 规 定 负责 国际 出 入 口 信道 、 所 属 互联 网 络 的 安全 保护 管理 工作 。 

(3) 互联 单位 、 接 入 单位 及 使 用 计算 机 信息 网 络 国际 联网 的 法 人 和 其 他 组 织 应 当 履 行 下 
列 安全 保护 职责 。 

e 负责 本 网 络 的 安全 保护 管理 工作 ， 建 立 健全 安全 保护 管理 制度 。 

e 落实 安全 保护 技术 措施 ， 保 障 本 网 络 的 运行 安全 和 信息 安全 。 

e 负责 对 本 网 络 用 户 的 安全 教育 和 培训 。 

e 对 委托 发 布 信息 的 单位 和 个 人 进行 登记 , 并 对 所 提供 的 信息 内 容 按照 本 办 法 第 五 条 
进行 审核 。 
建立 计算 机 信息 网 络 电子 公告 系统 的 用 户 登 记 和 信息 管理 制度 。 

e 发 现 有 本 办 法 第 四 条 、 第 五 条 、 第 六 条 、 第 七 条 所 列 情形 之 一 的 ， 应 当 保留 有 关 原 

台 记录 ， 并 在 二 十 四 小 时 内 向 当地 公安 机 关 报告 。 
e 按照 国家 有 关 规 定 ， 删 除 本 网 络 中 含有 本 办 法 第 五 条 内 容 的 地 址 、 目 录 或 者 关闭 服 
务 器 。 

(4) 用 户 在 接 入 单位 办 理 入 网 手续 时 ， 应 填写 用 户 备案 表 。 备 案 表 由 公安 部 监制 。 

(5) 互联 单位 、 接 入 单位 、 使 用 计算 机 信息 网 络 国际 联网 的 法 人 和 其 他 组 织 ( 包 括 跨 省 、 
自治 区 、 直 辖 市 联网 的 单位 和 所 属 的 分 支 机 构 )， 应 当 自 网 络 正式 联通 之 日 起 三 十 日 内 ， 到 所 
在 地 的 省 、 自 治 区 、 直 辖 市 人 民政 府 公安 机 关 指 定 的 受理 机 关 办 理 备案 手 续 。 

前 款 所 列 单位 应 当 负责 将 接 入 本 网 络 的 接 入 单位 和 用 户 情况 报 当地 公安 机 关 备 案 ， 并 及 
时 报告 本 网 络 中 接 入 单位 和 用 户 的 变更 情况 。 

(6) 使 用 公用 账号 的 注册 者 应 当 加 强 对 公用 账号 的 管理 ， 建 立 账号 使 用 登记 制度 。 用 户 
账号 不 得 转借 、 转 让 。 

(7) 涉及 国家 事务 、 经 济 建设 、 国 防 建设 、 尖 端 科学 技术 等 重要 领域 的 单位 办 理 备案 手 
续 时 ， 应 当 出 具 其 行政 主管 部 门 的 审批 证 明 。 

前 款 所 列 单位 的 计算 机 信息 网 络 与 国际 联网 ， 应 当 采 取 相 应 的 安全 保护 措施 。 

3) 安全 监督 

(1) 省 、 自 治 区 、 直 辖 市 公安 厅 ( 局 )、 地 (市 )、 县 (市 ) 公 安 局 ， 应 当 有 相应 机 构 负 责 国际 
联网 的 安全 保护 管理 工作 。 

(2) 公安 机 关 计 算 机 管理 监察 机 构 应 当 掌握 互联 单位 、 接 入 单位 和 用 户 的 备案 情况 ， 建 
立 备 案 档案 ， 进 行 备案 统计 ， 并 按照 国家 有 关 规 定 逐 级 上 报 。 

(3) 公安 机 关 计算 机 管理 监察 机 构 应 当 督 促 互 联 单位 、 接 入 单位 及 有 关 用 户 建立 健全 安 
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全 保护 管理 制度 。 监 督 、 检 查 网 络 安全 保护 管理 以 及 技术 措施 的 落实 情况 。 

公安 机 关 计 算 机 管理 监察 机 构 在 组 织 安全 检查 时 ， 有 关 单 位 应 当 派 人 参加 。 公 安 机 关 计 
算 机 管理 监察 机 构 对 安全 检查 发 现 的 问题 ， 应 当 提 出 改进 意见 ， 作 出 详细 记录 ， 存 档 备查 。 

(4) 公安 机 关 计 算 机 管理 监察 机 构 发 现 含有 本 办 法 第 五 条 所 列 内 容 的 地 址 、 目 录 或 者 服 
务 器 时 ， 应 当 通知 有 关 单 位 关闭 或 者 删除 。 

(5) 公安 机 关 计 算 机 管理 监察 机 构 应 当 负责 追踪 和 查处 通过 计算 机 信息 网 络 的 违法 行为 
和 针对 计算 机 信息 网 络 的 犯罪 案件 ， 对 违反 本 办 法 第 四 条 、 第 七 条 规定 的 违法 犯罪 行为 ， 应 
当 按照 国家 有 关 规 定 移送 有 关 部 门 或 者 司法 机 关 处 理 。 

4) 法 律 责任 

(1) 违反 法 律 、 行 政法 规 ， 有 本 办 法 第 五 条 、 第 六 条 所 列 行 为 之 一 的 ， 由 公安 机 关 给 予 
警告 ， 有 违法 所 得 的 ， 没 收 违法 所 得 ， 对 个 人 可 以 并 处 五 千 元 以 下 的 罚款 ， 对 单位 可 以 并 处 
一 万 五 千 元 以 下 的 罚款 ;情节 严重 的 ， 可 以 给 予 六 个 月 以 内 停止 联网 、 停 机 整顿 的 处 罚 ， 必 
要 时 可 以 建议 原 发 证 、 审 批 机 构 吊 销 经 营 许可 证 或 者 取消 联网 资格 ， 构 成 违反 治安 管理 行为 
的 ， 按 照 治安 管理 处 罚 条 例 的 规定 处 罚 ， 构 成 犯罪 的 ， 依 法 追究 刑事 责任 。 

(2) 有 下 列 行 为 之 一 的 ， 由 公安 机 关 责 令 限 期 改正 ， 给 予 警 告 ， 有 违法 所 得 的 ， 没 收 违 
法 所 得 ;在 规定 的 限期 内 未 改正 的 ， 对 单位 的 主管 负责 人 和 其 他 直接 责任 人 员 可 以 并 处 五 千 
元 以 下 的 罚款 ， 对 单位 可 以 并 处 一 万 五 千 元 以 下 的 罚款 ; 情节 严重 的 ， 可 以 给 予 六 个 月 以 内 
的 停止 联网 、 停 机 整顿 的 处 罚 ， 必 要 时 可 以 建议 原 发 证 、 审 批 机 构 吊 销 经 营 许可 证 或 者 取消 
联网 资格 。 

e。 未 建立 安全 保护 管理 制度 。 
未 采取 安全 技术 保护 措施 的 。 
未 对 网 络 用 户 进行 安全 教育 和 培训 的 。 
未 提供 安全 保护 管理 所 需 信息 、 资 料及 数据 文件 ， 或 者 所 提供 内 容 不 真实 的 。 
对 委托 其 发 布 的 信息 内 容 未 进行 审核 或 者 对 委托 单位 和 个 人 未 进行 登记 的 。 
未 建立 电子 公告 系统 的 用 户 登记 和 信息 管理 制度 的 。 
未 建立 公用 账号 使 用 登记 制度 的 。 

e 转借 、 转 让 用 户 账号 的 。 

(3) 违反 本 办 法 第 四 条 、 第 七 条 规定 的 ， 依 照 有 关 法 律 、 法 规 予以 处 罚 。 

(4) 违反 本 办 法 第 十 一 条 、 第 十 二 条 规定 ， 不 履行 备案 职责 的 ， 由 公安 机 关 给 予 警 告 或 
者 停机 整顿 不 超过 六 个 月 的 处 罚 。 

5) 附则 

(1) 与 香港 特别 行政 区 和 台湾、 澳门 地 区 联网 的 计算 机 信息 网 络 的 安全 保护 管理 ， 参 照 
本 办 法 执行 。 

(2) 办 法 自发 布 之 日 起 施行 。 
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本 章 小 结 


本 章 主要 讨论 了 有 关 网 络 安全 管理 的 概念 和 重要 性 ， 描 述 了 几 种 不 同 分 类 的 网 络 安全 管 
理 标准 ， 如 静态 的 安全 管理 和 动态 的 信息 安全 管理 ， 并 对 它们 进行 分 析 比 较 。 然 后 ， 介 绍 了 
国际 上 制定 的 一 些 有 关 信 息 安 全 管理 标准 ， 包 括 ISO/EC 13335、ISO/EC 17799、 
ISO/EC27000、ISO/EC27001、ISO/EC27002。 最 后 ,结合 国际 上 相关 的 网 络 安全 管理 法 例 ， 
介绍 了 中 国 自己 制定 的 相关 安全 立法 ， 着 重 介绍 了 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保 
护 条 例 》 和 《计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 》 的 内 容 ， 使 读者 对 网 络 安 全 管理 
有 一 个 整体 的 认识 ， 虽 在 能 够 让 读者 接受 、 理 解 相关 的 管理 标准 ， 并 将 相关 的 标准 运用 到 实 


稳定 、 可 靠 ， 满足 不 同 层次 网 络 安全 的 需求 。 


课 后 练习 


1. 从 网 络 安全 管理 过 程 中 所 使 用 的 方法 来 看 ， 分 为 ( )、( ) 两 种 。 

2. 静态 的 网 络 安全 管理 ， 相 对 后 期 的 动态 管理 模式 而 言 ， 缺 少 ( ) 
( 和 ) 儿 种 安全 防范 的 环节 。 

3. PDCA 安全 管理 模型 中 , 四 个 主要 的 环节 是 ( )( )\( )、 
( )。 

4.ISO 27000 系列 共 包括 ( ) 个 标准 ， 当 前 已 经 发 布 和 在 研究 的 有 ( 和 

5. 本 章 介绍 的 中 国 相关 网 络 安全 法 规 分 别 是 ( )、( )。 


二 、 选 择 题 
1. ISO 7498 一 2 定义 的 安全 服务 包括 (  )。 


A. 数据 保密 性 B. 访问 控制 C. 加 密 机 制 D. 认证 
2. PDCA 安全 管理 模型 的 四 个 步 又， 包括 下 面 的 ( )。 


A. 响应 B. 计划 C. 恢复 D. 检查 
3. 下 述 选 项 中 ，( ”) 属 于 动态 安全 管理 模式 的 环节 。 

A. 响应 B. 计划 C. 恢复 D. 检查 
4. 下 述 的 ( 。””) 属 于 网 络 安全 管理 原则 的 范畴 。 

A. 加 密 B. 访问 控制 C. 抗 抵 赖 D. 认证 


5. ISO 27000 标准 总 共有 ( 。“) 个 标准 ， 已 经 发 布 和 在 研究 的 有 (  ) 个 。 
A.6 B.8 C.10 D.7 
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DD 一 


. 网 络 安全 管理 的 重要 意义 是 什么 ? 

. 简 述 安全 管理 的 内 容 和 分 类 ， 并 比较 其 不 同 。 

. 安全 管理 标准 可 以 分 为 哪 几 类 ? 简要 描述 ISO 27000 系列 标准 的 主要 内 容 。 

. 说 一 说 安全 法 规制 定 需要 注意 哪些 问题 。 

. 结合 第 2 章 相关 安全 模型 的 内 容 ， 说 明 PPDR、PDRR 和 了 PDCA 的 特点 和 不 同 。 


